Correos electrónicos de phishing: cómo proteger a sus clientes cuando usan la firma electrónica

Dilani Silva, 11 de Agosto de 2019
Phishing Emails

De acuerdo a un Informe de PhishLabs 2019 , el volumen de ataques de phishing contra EE. UU. Los objetivos aumentaron más del 40% en 2018. El phishing sigue siendo uno de los esquemas de ingeniería social más comunes y exitosos a nivel mundial, sin signos de desaceleración. El phishing engaña a las personas para que hagan clic en enlaces maliciosos para descargar malware o proporcionar información confidencial a los delincuentes. El aumento de los ataques de suplantación de servicios web, un tipo de ataque de phishing que utiliza una marca reconocida , involucra sitios web y correos electrónicos falsos que solicitan a las personas iniciar sesión y ceder sus credenciales a los delincuentes. Con las credenciales robadas, los atacantes pueden iniciar sesión en otros servicios y hacerse pasar por la víctima para robar fondos. 

Los estafadores y los phishers se adaptan a los eventos actuales y a la actividad comercial estacional. El año pasado, vimos oportunistas Correos electrónicos de phishing relacionados con GDPR y estafas de impuestos . Una táctica es enmascarar el malware con algo tan rutinario como una factura o aviso de envío. Brandjacking, donde los correos electrónicos maliciosos se hacen pasar por marcas reconocidas, también sigue siendo una táctica popular para los phishers. Los vendedores como DocuSign están bajo el ataque constante de los estafadores ( 2017 , 2018 , 2019 ), que envían correos electrónicos falsos supuestamente desde el servicio de firma electrónica del proveedor. DocuSign es un objetivo principal para ataques de phishing maliciosos y voluminosos debido al uso generalizado de su marca en su servicio de firma electrónica y notificaciones por correo electrónico. Si este tipo de técnicas de suplantación de identidad terminan llegando a sus clientes finales, podría provocar descargas de malware (como ransomware) y piratas informáticos que explotan la identidad y la información personal de los clientes.

Lo mismo se aplica a los socios comerciales y empleados. De acuerdo a un Informe de amenazas 2018 de eSentire Threat Intelligence, tener las credenciales de Facebook comprometidas afectará su vida personal más que nada; pero "el robo de credenciales de DocuSign o Dropbox podría tener un grave impacto en una empresa". Cuando las credenciales se reutilizan para varias cuentas en una organización, el compromiso de esas credenciales puede tener implicaciones aún más graves.


Proteja su marca y clientes contra correos electrónicos de phishing

Como empresa, ha invertido mucho dinero para construir y promocionar su marca. Su marca importa, porque representa la esencia de lo que representa su empresa. Una experiencia negativa relacionada con su marca puede conducir rápidamente a la pérdida de negocios, la pérdida de clientes y un impacto negativo en el resultado final de su empresa. El informe del factor humano describe ciberataques avanzados que se centran en explotar credenciales. La siguiente figura extraída de este informe describe la efectividad de los correos electrónicos de phishing basados en servicios web como DocuSign, OneDrive y DropBox. Las tasas de clics de correo electrónico son alarmantemente altas. Cada clic significa que el atacante está un paso más cerca de obtener y explotar información confidencial del cliente. 

docusign de phishing

Entonces, ¿qué puede hacer una empresa para proteger a sus clientes y su reputación? Como compañía de seguridad digital que ha evitado miles de millones de dólares en posibles fraudes, comprendemos la importancia de garantizar que sus consumidores tengan un viaje confiable a través de toda la transacción digital. El consejo que le damos a nuestros clientes es que marquen con etiqueta toda la experiencia de firma electrónica. Debe poder destacar su marca para garantizar una transición ininterrumpida entre su aplicación de marca y la aplicación de firma electrónica. Las mejores prácticas de la industria han demostrado que una transacción transparente y de marca completa refuerza la confianza de los clientes y fomenta altas tasas de adopción. 

Si está utilizando una solución de firma electrónica donde el logotipo y la marca del proveedor son una parte destacada de la experiencia de firma electrónica, su consumidor creará lógicamente una asociación entre su empresa y el proveedor de firma electrónica. Si el proveedor experimenta una violación de seguridad o datos, como el Infracción de DocuSign , aunque no tenga ninguna relación con su negocio, puede tener un efecto indirecto que afecta a su empresa por asociación. Además, una experiencia de firma electrónica de marca de proveedor pone en riesgo a sus firmantes. Cuando un cliente suyo es el destinatario de una estafa de phishing, su objetivo principal es explotar su identidad e información personal. Si tiene éxito, afectará su confianza en su negocio y puede hacer que reconsideren su relación con usted.

Combatir los ataques de ingeniería social y mitigar el riesgo humano en las transacciones bancarias.

Conozca los últimos ataques de ingeniería social y cómo los ciberdelincuentes aprovechan las vulnerabilidades en el proceso de autorización de transacciones para la adquisición de cuentas. Minimice el riesgo con las mejores prácticas de la industria y las recomendaciones tecnológicas.

Descargue el eBook de Ingeniería Social

Disminuya la vulnerabilidad de los ataques con etiqueta blanca

Al evaluar las soluciones de firma electrónica, asegúrese de que su proveedor tenga en mente sus mejores intereses y que invierta en su éxito. Si un proveedor no le permite mantener el foco en su marca, considérelo una señal de alerta. A diferencia de otros proveedores de firma electrónica que insisten en que su marca está al frente y en el centro dentro de su aplicación, OneSpan Sign le permite marcar completamente la experiencia, manteniendo todo el enfoque en fortalecer su marca. Ya sea que su experiencia de firma se inicie a través de una notificación por correo electrónico o directamente dentro de un portal web o aplicación móvil, OneSpan Sign le permite marcar todos los aspectos del proceso de firma electrónica. Esto es lo # 1 que puede hacer para proteger su marca y sus clientes, y disuadir a los estafadores sofisticados de convertirse en su próximo objetivo. Busque un proveedor de firma electrónica que le permita:

  • Integre con sus propios servidores de correo electrónico para permitir que se envíen correos electrónicos desde su dominio (por ejemplo, @yourbank .com) en lugar de la suya (por ejemplo, enviado a través de [insertar nombre del proveedor])
  • Personalice el contenido y la apariencia de las notificaciones por correo electrónico
  • Personalice los colores, el logotipo y la visibilidad de elementos como encabezados, barras de navegación, pies de página, etc.
  • Personalizar cuadros de diálogo y mensajes de error

Autenticación multifactor (MFA)

Además de la etiqueta blanca, las empresas nunca deben pasar por alto las medidas de seguridad, como la autenticación multifactor. De acuerdo a un Google encuesta, esta es una de las principales formas en que los expertos en seguridad se protegen en línea. MFA requiere que las personas prueben su identidad utilizando dos o más métodos de verificación antes de que puedan ser autenticados y tener acceso. De esta manera, si un factor se ve comprometido o roto, el atacante todavía tiene al menos una barrera más para romper antes de entrar en el objetivo. Cuando se trata de phishing, los métodos MFA implementados adecuadamente son un elemento disuasivo mucho más fuerte que el nombre de usuario y la contraseña de un solo factor. 

Hoy en día, hay muchas opciones de MFA que logran un equilibrio entre seguridad y usabilidad. Además de los tokens tradicionales de hardware de contraseña de un solo uso (OTP), las opciones móviles como escaneo de huellas digitales y reconocimiento facial son fáciles de usar, lo que hace que la experiencia de autenticación no tenga fricciones. Otros métodos de MFA para dispositivos móviles incluyen contraseñas de un solo uso entregadas a través de un aplicación de autenticación móvil o mensaje SMS. Como un líder del mercado en autenticación multifactor , podemos ayudarlo a comprender qué opciones son mejores para sus necesidades y usuarios únicos. 

Para obtener más información sobre la seguridad de la firma electrónica, lea nuestro informe sobre Seguridad y confianza: mejores prácticas para implementar firmas electrónicas.

 

Dilani Silva es gerente de marketing de productos en OneSpan. En su papel, administra y ejecuta la estrategia de lanzamiento al mercado, el posicionamiento, la mensajería y la habilitación de ventas para la solución de firma electrónica de OneSpan, OneSpan Sign.