Correos electrónicos de suplantación de identidad - Cómo proteger a sus clientes al utilizar la firma electrónica

Dilani Silva, 11 de Agosto de 2019

Según un informe de PhishLabs de 2019, el volumen de ataques de phishing contra objetivos estadounidenses aumentó más del 40% en 2018. El phishing sigue siendo uno de los esquemas de ingeniería social más comunes y exitosos a nivel mundial, y no hay señales de que vaya a disminuir. El phishing engaña a las personas para que hagan clic en enlaces maliciosos y descarguen programas maliciosos o proporcionen información confidencial a los delincuentes. El aumento de los ataques de suplantación de servicios web, un tipo de ataque de phishing que utiliza una marca reconocida, implica sitios web y correos electrónicos falsos que incitan a las personas a iniciar sesión y entregar sus credenciales a los delincuentes. Con las credenciales robadas, los atacantes pueden iniciar sesión en otros servicios y hacerse pasar por la víctima para robar fondos

Los estafadores y los phishers se adaptan a la actualidad y a la actividad comercial estacional. El año pasado, vimos correos electrónicos de phishing oportunistas relacionados con el GDPR y estafas relacionadas con el impuesto sobre la renta. Una táctica es enmascarar el malware con algo tan rutinario como una factura o un aviso de envío. El brandjacking, en el que los correos electrónicos maliciosos se hacen pasar por marcas reconocidas, también sigue siendo una táctica popular entre los phishers. Proveedores como DocuSign están siendo atacados constantemente por estafadores(2017, 2018, 2019, 2020), que envían correos electrónicos falsos supuestamente del servicio de firma electrónica del proveedor. DocuSign es un objetivo principal para los ataques de phishing maliciosos y voluminosos debido al uso generalizado de su marca en su servicio de firma electrónica y en las notificaciones por correo electrónico. Si este tipo de técnicas de suplantación de identidad acaban llegando a sus clientes finales, podría dar lugar a descargas de malware (como ransomware) y a que los hackers exploten la identidad y la información personal de los clientes.

Lo mismo ocurre con los socios comerciales y los empleados. Según un informe de amenazas de 2018 de eSentire Threat Intelligence, tener las credenciales de Facebook comprometidas afectará a tu vida personal más que nada; pero "el robo de credenciales de DocuSign o Dropbox podría tener un impacto grave en una empresa" Cuando las credenciales se reutilizan para múltiples cuentas en una organización, el compromiso de esas credenciales puede tener implicaciones aún más graves.


Proteja su marca y sus clientes contra los correos electrónicos de phishing

Como empresa, ha invertido mucho dinero para construir y promover su marca. Su marca es importante, porque representa la esencia de lo que representa su empresa. Una experiencia negativa relacionada con su marca puede conducir rápidamente a la pérdida de negocio, a la pérdida de clientes y a un impacto negativo en los resultados de su empresa. Elinforme sobre el factor humano describe los ciberataques avanzados que se centran en la explotación de las credenciales. La figura siguiente, extraída de este informe, muestra la eficacia de los correos electrónicos de phishing basados en servicios web como DocuSign, OneDrive y DropBox. El porcentaje de clics en el correo electrónico es alarmantemente alto. Cada clic significa que el atacante está un paso más cerca de obtener y explotar la información confidencial del cliente

phishing docusign

Entonces, ¿qué puede hacer una empresa para proteger a sus clientes y su reputación? Como empresa de seguridad digital que ha evitado miles de millones de dólares en posibles fraudes, entendemos la importancia de garantizar a sus consumidores un viaje de confianza a través de toda la transacción digital. El consejo que damos a nuestros clientes es que pongan en marca blanca toda la experiencia de la firma electrónica. Debe ser capaz de poner el foco en su marca para garantizar una transición ininterrumpida entre su aplicación de marca y la aplicación de firma electrónica. Las mejores prácticas del sector han demostrado que una transacción sin fisuras y con toda la marca refuerza la confianza de los clientes y fomenta altos índices de adopción

Si utiliza una solución de firma electrónica en la que el logotipo y la marca del proveedor son una parte destacada de la experiencia de la firma electrónica, su consumidor creará lógicamente una asociación entre su empresa y el proveedor de la firma electrónica. Si el proveedor experimenta una brecha de seguridad o de datos como la de DocuSign, aunque no tenga ninguna relación con su negocio, puede tener un efecto indirecto que afecte a su empresa por asociación. Además, una experiencia de firma electrónica con marca de proveedor pone en riesgo a sus firmantes. Cuando un cliente suyo es el destinatario de una estafa de phishing, su objetivo principal es explotar su identidad e información personal. Si tiene éxito, afectará a su confianza en su empresa y puede hacer que se replantee su relación con usted.

Autorización de transacciones Cronto

Combatir los ataques de ingeniería social y mitigar el riesgo humano en las transacciones bancarias

Conozca los últimos ataques de ingeniería social y cómo los ciberdelincuentes se aprovechan de las vulnerabilidades del proceso de autorización de transacciones para hacerse con una cuenta. Minimice el riesgo con las mejores prácticas del sector y las recomendaciones tecnológicas.

Descargue el libro electrónico sobre ingeniería social

Disminuya la vulnerabilidad de los ataques con la marca blanca

Al evaluar las soluciones de firma electrónica, asegúrese de que su proveedor tiene en cuenta sus mejores intereses y está comprometido con su éxito. Si un proveedor no le permite mantener el foco en su marca, considérelo una bandera roja. A diferencia de otros proveedores de firma electrónica que insisten en que su marca sea la principal en su aplicación, OneSpan Sign le permite etiquetar completamente la experiencia, manteniendo todo el enfoque en el fortalecimiento de su marca. Ya sea que su experiencia de firma se inicie a través de una notificación por correo electrónico o directamente dentro de un portal web o una aplicación móvil, OneSpan Sign le permite etiquetar cada aspecto del proceso de firma electrónica. Esto es lo primero que puede hacer para proteger su marca y a sus clientes, y disuadir a los estafadores sofisticados de convertirle en su próximo objetivo. Busque un proveedor de firma electrónica que le permita:

  • Integrarse con sus propios servidores de correo electrónico para permitir que los correos electrónicos se envíen desde su dominio (por ejemplo, @yourbank.com) en lugar del de ellos (por ejemplo, enviados a través de [insertar el nombre del proveedor])
  • Personalizar el contenido y el aspecto de las notificaciones por correo electrónico
  • Personalice los colores, el logotipo y la visibilidad de elementos como cabeceras, barras de navegación, pies de página, etc.
  • Personalizar los cuadros de diálogo y los mensajes de error

Autenticación multifactorial (MFA)

Además de la etiqueta blanca, las empresas no deben pasar por alto medidas de seguridad como la autenticación multifactor. Según una encuesta de Google, ésta es una de las principales formas en que los expertos en seguridad se protegen en línea. La AMF requiere que las personas demuestren su identidad mediante dos o más métodos de verificación antes de poder autenticarse y obtener acceso. De esta manera, si un factor se ve comprometido o se rompe, el atacante todavía tiene al menos una barrera más que romper antes de entrar en el objetivo. Cuando se trata de phishing, los métodos de MFA correctamente implementados son un elemento de disuasión mucho más fuerte que el nombre de usuario y la contraseña de factor único

Hoy en día, hay muchas opciones de AMF que logran un equilibrio entre seguridad y usabilidad. Además de los tradicionales tokens de hardware de contraseña de un solo uso (OTP), las opciones móviles como el escaneo de huellas dactilares y el reconocimiento facial son fáciles de usar, lo que hace que la experiencia de autenticación no tenga fricciones. Otros métodos de AMF para móviles son las contraseñas de un solo uso entregadas a través de una aplicación de autenticación móvil o un mensaje SMS. Como líder en el mercado de la autenticación multifactorial, podemos ayudarle a entender qué opciones son las mejores para sus necesidades y usuarios únicos

Para saber más sobre la seguridad de la firma electrónica, lea nuestro informe sobre Seguridad y confianza: mejores prácticas para la implantación de la firma electrónica.

 

 

Dilani Silva es Directora de Marketing de Producto en OneSpan. En su puesto, gestiona y ejecuta la estrategia de salida al mercado, el posicionamiento, los mensajes y la habilitación de ventas para la solución de firma electrónica de OneSpan, OneSpan Sign.