Los ataques de phishing han crecido de forma meteórica durante el último año, debido a que los atacantes no dejan de refinar sus tácticas y reutilizan las más exitosas. En un ataque de phishing los ciberdelincuentes envían algún tipo de mensaje electrónico para empujarte a hacer algo inseguro, como facilitar contraseñas, números de tarjera de crédito o direcciones.
Sophos Iberia ha realizado una investigación para conocer cuáles son los cebos utilizados en los ataques de phishing en los que más pican los empleados. A través de su herramienta, Sophos Phish Threat, una empresa puede instalar un simulador de ataques de phishing automatizados para sensibilizar y concienciar a sus empleados. No son amenazas reales, sino ataques simulados que alertan al trabajador una vez ha pinchado en el enlace y permiten reforzar la seguridad de los usuarios, que continúan siendo el eslabón más débil de la protección frente a ciberataques y la forma más fácil de acceder a las redes empresariales, incluso después de haber implementado medidas de seguridad sólidas.
Estas son las 10 amenazas de phishing, por orden de importancia, en las que más han picado los trabajadores en el último año:
1. Código de conducta: el empleado recibe una carta de RRHH que expone los nuevos códigos de conducta de la compañía.
2. Resumen del cierre fiscal retrasado: este email notifica al personal que su documentación fiscal va a llegar con retraso y facilita un enlace en el que conocer de cuánto tiempo se trata ese retraso.
3. Mantenimiento programado del servidor: el teletrabajo ha cambiado algunas conductas y saber cuándo se puede interrumpir el acceso es ahora más relevante.
4. Tiene una nueva tarea: esta amenaza se trata de un phishing semi-dirigido ya que el administrador simula utilizar el programa interno que utilice la empresa para que no sea tan obvia la amenaza.
5. Nueva prueba del sistema de correo electrónico: solo requiere de un clic rápido en un email para ayudar a un compañero.
6. Actualización de la política de vacaciones: la crisis del coronavirus ha obligado a muchas empresas a cambiar sus políticas de vacaciones.
7. ¿Te has dejado las luces encendidas? En este mensaje, el administrador del edificio informa de que uno de los coches de los trabajadores se ha quedado con las luces encendidas. Al recibir un enlace en el que acceder a la imagen del vehículo en cuestión podría parecer sospechoso, pero también puede pensarse que es un protocolo de RGPD.
8. Fallo en la entrega del servicio de mensajería: como en la mayoría de los casos es el vendedor quién selecciona la empresa de mensajería con la que trabaja, es fácil que los trabadores piquen al estar esperando un envío y no saber exactamente que empresa lo entregará.
9. Documento seguro: este truco es ampliamente utilizado en las estafas de phishing, en el que se envió un documento seguro por parte del equipo de RRHH con una razón plausible para acceder a él. El email trata de convencerte de que introduzcas las contraseñas donde normalmente no habría porqué hacerlo o te solicitan un ajuste de configuración de tu ordenador para “mejorar tu seguridad” cuando es todo lo contrario.
10. Mensaje de redes sociales: en este caso se trata de una notificación de LinkedIn con el mensaje “Tienes mensajes no leídos de [cualquier nombre]”.