El fraude fiscal ha ido en aumento en los últimos años, en particular durante la temporada de impuestos, pero los objetivos han sido normalmente los contribuyentes individuales, o los departamentos de recursos humanos de las empresas, que han sido objeto de phishing para obtener información confidencial relacionada con el W-2 y los pagos.
El resultado final es que el phishing cuesta a las organizaciones miles de millones de dólares al año y es el mayor punto de entrada para todo tipo de infracciones de datos y pérdidas financieras.
Imagina esto: Es la hora de la crisis fiscal. Su empresa comienza a recibir una ráfaga de llamadas y correos electrónicos de clientes que preguntan por qué les ha enviado un correo electrónico enigmático que incluía un enlace a algún malware.
Te sumerges en la investigación sólo para descubrir que tu correo electrónico ha sido comprometido, y alguien ha tenido acceso a todos los contactos de tus clientes y su información fiscal. Además de hablar con los clientes desde una cornisa, ahora te has expuesto a la responsabilidad financiera y a la rotación de clientes. Felicitaciones! Acaba de unirse a la gran y creciente fraternidad de organizaciones dudosas que han sido víctimas de un ataque de phishing.
A medida que la gente se ha ido haciendo más inteligente, los hackers están empezando a dirigir su atención hacia objetivos de mayor valor, a saber, las pequeñas y medianas empresas de contabilidad. Las empresas de contabilidad en general son objetivos atractivos porque representan un punto de agregación de datos, ya que son custodios de información sensible para un gran número de clientes. Y mientras que las empresas más grandes se benefician de un personal cualificado en materia de tecnología de la información y seguridad, las pequeñas y medianas empresas son especialmente jugosas para los malos; eso se debe a que con frecuencia carecen de la tecnología, los recursos y la formación necesarios para protegerse adecuadamente.
Aunque siguen empleando trucos de phishing probados, como el uso de palabras clave que denotan un sentido de urgencia, los piratas informáticos también son cada vez más sofisticados en sus tácticas. Cada vez es más probable que los malos actores hagan investigaciones a través de redes sociales y sitios de revisión para identificar clientes específicos de su empresa.
También pueden hacer girar dominios de Internet similares o direcciones de correo electrónico personales de Gmail o Yahoo para imitar de cerca el aspecto de los correos electrónicos de sus clientes reales. Su intención es utilizar estas tácticas para robar a su empresa para que puedan recoger sus credenciales, o plantar malware que pueda rastrear las contraseñas que utiliza para acceder a varios sistemas en línea.
Una vez que los hackers consiguen eso, tienen las llaves del reino en términos de acceso a los datos de los clientes. Peor aún, puede que no descubran que han sido violados hasta que sea demasiado tarde.
¿Qué puedes hacer?
Afortunadamente, hay varias cosas que incluso un departamento de TI puede hacer para proteger su empresa y sus clientes. En la seguridad siempre hay varias capas de protección y unos pocos pasos simples pueden hacer una gran diferencia para mantenerte a ti y a tu empresa a salvo. Recuerda, si no quieres que te coma un león, no tienes que ser la gacela más rápida… simplemente no quieres ser la más lenta.
1. Envía una comunicación clara a tus clientes indicando cómo te pondrás en contacto con ellos y que nunca deben incluir ninguna información sensible (contraseñas, SSN, información bancaria, etc.) en el correo electrónico. Si reciben algo que parece provenir de ti, deben contactarte directamente para validar esa solicitud.
2. Hable con su personal sobre la importancia de estar atento a las comunicaciones falsas que parecen venir de los clientes. Esté atento a las actividades atípicas y cuando tenga dudas, peca de precavido.
3. Dejar de usar el correo electrónico para compartir documentación y declaraciones de impuestos. Hay muchas plataformas disponibles de manera económica que proporcionan seguridad de nivel bancario para comunicar y compartir documentos con sus clientes.
4. Active la Autenticación de Dos Factores (2FA ) para todos sus sistemas donde esté disponible. 2FA es el uso de un canal secundario de verificación de identidad además de su contraseña, por ejemplo un mensaje de texto a su dispositivo móvil, antes de que se le permita el acceso. Esto está disponible para la mayoría de las plataformas de correo electrónico y herramientas financieras, y este sencillo paso hará mucho más difícil que un atacante comprometa sus sistemas.
5. Use las plataformas anti-phishing para proteger a sus empleados de ser phishados. Hay una amplia variedad de soluciones disponibles que pueden proporcionarle una solución sólida y fácil de usar. Mientras que algunas están diseñadas para grandes empresas, busque las que sean rentables, fáciles de implementar y utilizar, y que estén orientadas a las pequeñas y medianas empresas (PYMES).
En particular, busque soluciones que proporcionen una defensa activa que notifique a sus usuarios en caso de un correo electrónico sospechoso, antes de que tengan la oportunidad de hacer clic en un enlace erróneo o de descargar malware en su ordenador.
Conclusión
Los hackers saben que las víctimas potenciales son más vulnerables cuando están sobrecargados de trabajo y en el mundo de la contabilidad eso significa temporada de impuestos. Manténgase alerta y siga estas sencillas técnicas para salvaguardar los datos de sus clientes y, por extensión, de su empresa.
Artículos relacionados
Protéjase de las estafas de phishing del W-2
Cómo los profesionales de los impuestos pueden evitar las estafas de phishing