Saltar al contenido

Cómo las empresas pueden reconocer y combatir los ataques de phishing

El phishing es uno de los tipos más comunes de ciberataques a los que se enfrentan las empresas de contabilidad cuando los delincuentes trabajan para seguir el dinero, apuntando a los poseedores de grandes cantidades de información financiera confidencial.

Y con la temporada de impuestos en pleno apogeo, deberíamos echar un vistazo a lo que las empresas de contabilidad y los preparadores de impuestos necesitan saber sobre los ataques de phishing, así como la forma en que pueden mantener sus prácticas y clientes seguros.

Cómo las empresas pueden reconocer y combatir los ataques de phishing
Cómo las empresas pueden reconocer y combatir los ataques de phishing

¿Qué es un ataque de phishing?

En un ataque de phishing, el ciberdelincuente, haciéndose pasar por una fuente fiable, trata de engañar al destinatario para que tome la acción deseada por el atacante, como proporcionar información confidencial.Un ciberdelincuente puede lanzar una amplia red con un ataque de phishing o seleccionar a mano a una víctima potencial en un ataque más específico llamado «spear phishing». Una vez que una persona muerde el anzuelo, el atacante puede utilizar esa información para llevar a cabo la acción maliciosa.

Tipos de ataques de phishing

Una de las estafas de phishing que se está llevando a cabo en esta temporada de impuestos involucra a un atacante que finge ser del IRS, otra firma de contadores, o se hace pasar por un cliente, y pide formularios legales o de impuestos, como un W-2 o W-9.El atacante luego corre a usar el W-2 del empleado o el W-9 del contratista para presentar declaraciones de impuestos fraudulentas.

Otros ataques de phishing que hemos visto recientemente involucran estafas dirigidas a los usuarios de PayPal y a aquellos que parecen ser del soporte técnico de Apple. Estos correos electrónicos de phishing giran en torno a que su cuenta sea «hackeada» o un aviso «importante» con respecto a sus datos.

Cómo reconocer un ataque de phishing

Mientras que el phishing puede tomar la forma de anuncios en línea o de una llamada telefónica, a menudo toma la forma de correos electrónicos.Recuerde que las empresas no deben pedirle su contraseña, nombres de inicio de sesión, números de seguro social u otra información personal por correo electrónico.

Si no estás seguro de si un correo electrónico es legítimo, hay varias banderas rojas a las que debes prestar atención:

Remitente desconocido. Si el correo electrónico proviene de un remitente con el que el usuario no tiene una cuenta o no hace negocios, casi siempre es un correo electrónico de phishing.

Dirección web inválida. Los atacantes pueden variar ligeramente la dirección URL – http://gogledoc.com-stz.info/ en lugar de docs.google.com – para que un sitio web parezca auténtico.Familiarízate con los sitios web que visitas a menudo y no hagas clic en un enlace de un sitio web a menos que verifiques que es la dirección correcta.Para ello, colóquese con el puntero del ratón sobre el enlace e inspeccione cuidadosamente el mismo en busca de errores ortográficos, y asegúrese de que el enlace le lleva a un lugar seguro, como el sitio web de su cliente.

Errores de ortografía/tipificación. Un correo electrónico falso suele estar cargado de errores ortográficos y gramaticales.También contiene información que está fuera de contexto o utiliza un tono poco profesional.

Formato extraño. Un correo electrónico falso a menudo tiene la dirección de correo electrónico del usuario como «De: dirección», un remitente y un correo electrónico no coincidentes: El nombre del remitente podría decir Bob Jones, pero la dirección podría ser [correo electrónico protegido] o un doble saludo: Estimado Sr. Jones y Estimado Sr. o Sra…

Peticiones o promesas inusuales. El viejo adagio «si suena demasiado bueno para ser verdad, entonces lo es» se aplica aquí.Un atacante puede prometer mucho dinero sin ningún esfuerzo de su parte o pedirle que proporcione dinero por adelantado para actividades cuestionables.

Tono urgente. Los ciberdelincuentes transmiten un sentido de urgencia para que actúes rápidamente sin pensar. Cuidado con frases como «oye, puedes conseguirme la información en las próximas dos horas – la necesito para una reunión en la que voy a entrar», o «la falta de acción puede dejar tu cuenta inactiva».

Educar y capacitar a los usuarios sobre los ataques de phishing

Su empresa debe realizar regularmente cursos de concienciación sobre seguridad para los empleados, desde cómo funciona el phishing hasta cómo son los ataques de phishing más comunes. Entrene a los empleados para que no abran correos electrónicos desconocidos o hagan clic en enlaces sospechosos.

Como parte de su entrenamiento, puede enviar manualmente un correo electrónico falso o utilizar una herramienta de simulación como el IQ de seguridad de InfoSec que envía estos correos electrónicos a su personal y luego informa sobre cómo responden. Los resultados de estas pruebas pueden ayudarle a planificar sus próximas sesiones de entrenamiento de seguridad, así que es mejor hacerlo un par de veces al año.

Para educar a los clientes, recomendamos enviarles un correo electrónico informándoles de los peligros del phishing y de lo que deben tener en cuenta. Explíqueles la información que su empresa nunca le pedirá y cómo reportar los problemas. Déles los detalles de cómo pueden enviar su información de forma segura, crear contraseñas sólidas para las cuentas y seguir otras buenas prácticas de seguridad.

Protegiendo a los chasqueros pícaros

Incluso con los mejores programas de educación para usuarios, a veces su personal hace clic. Tal vez el mensaje era muy convincente o no mostraba signos de maldad.

En este caso, necesitarás protección contra el malware. Estas soluciones supervisan que sus empleados hagan clic en los correos electrónicos de phishing e impiden que los atacantes puedan llevar a cabo su nefasta misión.

La seguridad como facilitadora de negocios

Los atacantes tienen un porcentaje de éxito tan alto con el phishing que no se echarán atrás a corto plazo. Utilice estos consejos para proteger a sus clientes y a su empresa de los ataques de phishing durante la temporada de impuestos y después, y también mejorará la reputación de su marca, aumentando la lealtad y la retención de los clientes.