Como ya mencionamos en los módulos anteriores, las amenazas cibernéticas generan pérdidas significativas en empresas de cualquier tamaño e industria, en este módulo, vamos a darte algunos ejemplos de correos phishing con campañas usadas en la vida real, también te mostraremos el proceso de recuperación y todo lo que hemos aprendido hasta este momento.
ciberdelincuente con un correo electrónico de phishing.
Ejemplos de correo electrónico de phishing
Caso 1: Un hospital pierde $407,000
Según un contrato de cobertura de servicios de emergencia, un hospital rural se asoció con el grupo ED; cada mes, estos recibían una factura por correo electrónico y el hospital pagaba $200.000 por los servicios recibidos. Los correos electrónicos de phishing continuaron durante un par de meses hasta que alguien descubrió que el grupo ED nunca envió tales solicitudes de pago por correo, como resultado de esta estafa, el hospital perdió $407,000.
El error humano es el eslabón más débil para cualquier actividad fraudulenta en todos los ejemplos de ataques de phishing. Sin embargo, en este caso, hay una manera segura bajo la cual el personal del hospital puede reconocer la estafa. El pago del primer mes fue rechazado una vez por parte del grupo ED debido a que la cuenta en la que se hizo el depósito estaba bloqueada, cuando se devuelve el dinero, el hospital envió otro pago a un nuevo número de cuenta bancaria.
Después del incidente, el hospital dio prioridad a la capacitación en seguridad cibernética y realizó un proceso de autenticación a sus direcciones de correo electrónico usando protocolos multifactor para todos los gerentes. También cambiaron los procedimientos de transferencia, e incluyeron una confirmación oral obligatoria para todos sus proveedores para poder llevar a cabo transacciones financieras.
En primer lugar, en este ejemplo de correo phishing muestra lo importante que es prestar atención al remitente de todos los mensajes que llegan a tu buzón de correo electrónico y la necesidad de verificar la dirección, especialmente cuando se trata de grandes cantidades de dinero.
Caso 2: Fraude de CEO en Upsher-Smith Laboratories
Los fraudes de CEO son un ejemplo de ataques de correo de phishing que explotan el nombre del jefe de operaciones generales de la empresa y engañan a los empleados para que divulguen información o realicen transferencias financieras. En el caso de Upsher-Smith Laboratories, los atacantes hicieron que el Coordinador de Cuentas por Pagar, transfiriera urgentemente cerca de $50 millones en nueve transacciones diferentes a la “cuenta del CEO”, la cual resultó ser una cuenta falsa manejada por delincuentes informáticos.
Este es uno de esos ejemplos de phishing, donde la culpa recae más ampliamente sobre el empleado, sin embargo, hay otros factores en juego aquí. Los montos transferidos eran muy grandes y salían con mucha frecuencia, por lo que un representante del banco debería haber llamado para verificar dichas transacciones antes de dejarlas pasar. Por otro lado, si la empresa tuviera un procedimiento previo para el manejo de transacciones grandes, se podría haber evitado las pérdidas innecesarias.
Aunque el proceso se interrumpió cuando se habían sustraído $39 millones, el daño ya estaba hecho; la empresa no pudo recuperar el dinero y le tocó aprender una costosa lección sobre la confirmación de solicitudes inusuales, especialmente si estas son de carácter urgente y provienen del director ejecutivo. Este proceso presenta un desafío ya que puede llevar mucho tiempo establecer procedimientos para el manejo de dinero, pero su valor a nivel de seguridad está más que asegurado.
En general, los resultados de estos dos ejemplos de correos de phishing podrían evitarse si la empresa tuviera pautas sólidas para el manejo de sus comunicaciones y suficientes conocimientos de seguridad cibernética.
En el próximo módulo, aprenderás sobre otro tipo de ataque de ingeniería social, donde la víctima puede no perder dinero, pero puede contaminar redes enteras en un instante.