Un estudio realizado por una empresa de seguridad de la información mostró que en los últimos meses del 2017 hubo un aumento del 100 por ciento en las campañas de phishing aprovechando las redes sociales.
El phishing es una forma de fraude en el que el actor malintencionado personifica o compromete la cuenta de una organización para engañar a los usuarios y robar sus credenciales de inicio de sesión, información personal y activos financieros. Los usuarios también pueden divulgar involuntariamente información sobre su empleador que puede ser utilizada por el atacante para obtener acceso a redes corporativas, nos explica un experto en seguridad de la información.
Los actores de phishing siempre están innovando y creando nuevos métodos para atraer a las víctimas a obtener acceso a su información financiera, PII y cuentas de usuario. Comprender las últimas técnicas de phishing y las tendencias de los agentes de amenazas puede ayudar a las organizaciones a mantenerse un paso por delante de las amenazas de phishing que se dirigen a ellas.
Las compañías de seguridad de la información procesan grandes volúmenes de datos de amenazas relacionados con la web, incluidos datos sobre incidentes de phishing. De estas diversas fuentes, recibe URL que pueden ser indicativas de phishing. Las URL se procesan a través de la infraestructura de rastreo y se alimentan a través de la tecnología de machine-learning para clasificar cada página de phishing detectada de forma adecuada. Dentro de este grupo de páginas de phishing, están las utilizadas para ataques de phishing altamente dirigidos, también conocidos como ‘spear phishing’, así como también páginas de phishing utilizadas para el phishing ‘genérico’.
Esta información es resumida por los profesionales de la seguridad de la información cada trimestre para crear un resumen de phishing trimestral, rastreando las tácticas en evolución de las campañas de phishing. Al analizar la actividad del cuarto trimestre, y al utilizar los datos del Informe Q3, podemos hacer comparaciones y recapitular las tendencias observadas a lo largo de 2017.
En cuanto a las marcas más infectadas por la industria, hubo un 40 por ciento de phishing que aprovechó las marcas de las instituciones financieras, el 20 por ciento se hizo pasar por grandes compañías de tecnología y el 20 por ciento se hizo pasar por proveedores de transacciones digitales.
No obstante, la tendencia más interesante en el cuarto trimestre fue un aumento del 100 por ciento en las campañas de phishing aprovechando las redes sociales. Las instituciones financieras son casi siempre el objetivo del mayor volumen de ataques, pero las redes sociales son una nueva e interesante adición a la lista de objetivos principales.
Los falsos perfiles de las redes sociales siempre han sido un problema. En noviembre, Facebook admitió que hasta 270 millones de cuentas en la red social son ilegítimas y en enero Twitter reveló a los inversores que hasta 60 millones de cuentas no son lo que parecen.
De acuerdo a investigadores de seguridad de datos, existen varias razones por las que las redes sociales atraen más la atención de los actores maliciosos; el crecimiento en popularidad de las integraciones financieras dentro de las plataformas de medios sociales que, les da a los usuarios la capacidad de enviar y recibir dinero, puede generar un día de pago fácil. También existe la posibilidad de utilizar información sensible de publicaciones, mensajes y perfiles que pueden utilizarse como señuelos en ataques de ingeniería social.
Para las organizaciones que aprovechan las redes sociales para interactuar con clientes y prospectos, estas cifras deberían actuar como una llamada de atención. Las bajas barreras de entrada y la alta visibilidad de las redes sociales lo convierten en una herramienta rápida y poderosa para que los actores amenacen con cometer fraude al hacerse pasar por su marca. Es probable que los usuarios que son admitidos culpen en parte a la organización suplantada por no proteger mejor su marca, y esas mismas plataformas de redes sociales pueden usarse para amplificar su sentimiento, dañando aún más la marca.
Conocer su riesgo de phishing es solo la mitad de la batalla, expertos en seguridad de la información recomiendan el monitoreo en tiempo real y el reforzamiento web deben implementarse para ayudarlo a proteger los activos de la organización.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad