El Foro Interbancario de Seguridad de la Información indicó que los ciberdelincuentes utilizan las siguientes estrategias.
Por Revista Summa
El Foro Interbancario de Seguridad de la Información de laCámara de Bancos e Instituciones Financieras de Costa Rica alerta a los gerentes y altos ejecutivos de un nuevo ataque denominado whaling.
Un ataque de whaling es una variante de phishing. En tal sentido, resulta de fundamental importancia conocer cuáles son sus diferencias respecto al phishing, cómo identificarlas y lo más importante, cómo proteger a la organización de este tipo de ataques.
“Lo que distingue esta modalidad de otras, es que está orientada a personas que ocupan cargos de alta jerarquía en una empresa u organización principalmente de compañías tecnológicas que ofrecen servicios a la vanguardia, instituciones financieras y organizaciones que se dedican a procesar pagos. Estos forman parte del blanco principal de esta ciberamenaza; por ejemplo: los directores, presidentes y gerentes de empresas” comentó Annabelle Ortega, Directora Ejecutiva de la Cámara de Bancos e Instituciones Financieras.
Dicha variante resulta ser muy efectiva porque se lleva a cabo mediante técnicas de Ingeniería Social, cuyo propósito es convencer a las personas a realizar una acción que implique el uso de sus datos personales, como compartir datos de acceso a una cuenta determinada o realizar una transferencia bancaria “de urgencia”.
El Foro Interbancario de Seguridad de la Información indicó que los ciberdelincuentes utilizan las siguientes estrategias:
Recibir un correo electrónico después de una llamada: el ciberdelincuente se comunica con la víctima, realiza unas preguntas que hacen que la misma pueda entrar en confianza, para luego manipular a la víctima. Así también, puede expresarse de manera tal que podrá transmitir un sentido de urgencia para que lo antes posible confirme los datos; en este caso, el correo electrónico. Este es uno de los métodos más sencillos pero eficaces
Un escenario que se da con frecuencia, es que quienes atacan se hacen pasar por proveedores o contactos de confianza de la víctima. Para lograr lo anterior, antes de llevar a cabo el engaño, el ciberdelincuente puede acceder los datos de la víctima como sus contactos de correo electrónico. De esta manera, es más fácil poder “disfrazarse” de alguien en quien la víctima confiaría.
Otro escenario puede ser un mensaje de correo electrónico que sirve como puente para llevar a cabo el Whaling se disfraza como uno de los tantos mensajes que un jefe, gerente o director recibe a diario. Informes, balances e incluso, transacciones bancarias tanto personales como corporativas. He aquí la importancia de la conciencia de seguridad de estas personas con altos cargos.
Otra situación que se presenta es que la víctima confiará tanto en los mensajes de correo electrónico que ni siquiera llevará a cabo una de las prácticas clave de prevención de phishing: verificar las direcciones de correo electrónico. Así, por las prisas u otro tipo de situación, la víctima no se toma el tiempo para corroborar las direcciones de correo o si quien lo estuvo contactando era realmente quien decía ser
Adicionalmente, los perfiles de redes sociales también proveen mucha información para llevar a cabo el Whaling. Las cuentas de redes sociales profesionales pueden proveer mucha información respecto a la red de contactos de la víctima.
“Por eso es de suma importancia que los altos ejecutivos de las organizaciones y empresas tengan mucha cautela y conciencia de seguridad de las actividades que realizan en línea”, comentó Ortega.