Combata el phishing con el poder de su propia marca
En el mundo del fraude cibernético, el phishing sigue siendo una de las tácticas más exitosas y utilizadas con mayor frecuencia para robar credenciales. Lamentablemente, a medida que las capas de seguridad empresarial mejoran, la superficie de ataque se centrará cada vez más en las personas en lugar de en los sistemas. En resumen, los seres humanos se han convertido en el eslabón más débil de la cadena. Como tal, los correos electrónicos generados por los proveedores de firmas electrónicas se han convertido en un objetivo principal para las falsificaciones diseñadas para engañar a los usuarios con fin de que divulguen información personal y credenciales de inicio de sesión.
En particular, los investigadores de seguridad de Armorblox identificaron un esquema de phishing que falsificó un correo electrónico de flujo de trabajo común de un proveedor líder de firmas electrónicas. El correo electrónico malicioso evadió inteligentemente las soluciones de seguridad de correo electrónico en la nube y en las instalaciones por igual y atacó a más de 10 000 usuarios finales en varias organizaciones.
Sin embargo, hay esperanza. Algo tan simple como las comunicaciones de firma electrónica de marca pueden servir como una manera fácil pero efectiva de agregar un elemento crítico de confianza con los clientes.
Los ataques de phishing suplantan a los proveedores de firmas electrónicas de grandes marcas
La estafa funciona de la siguiente manera. Para invitar a un usuario a una sesión de firmas, un proveedor de firma electrónica generalmente envía un correo electrónico que se origina en su propio dominio y presenta su propia marca él solo. El estafador explota esta estrategia enviando un correo electrónico malicioso que se parece en todo sentido al correo electrónico oficial con mensajes urgentes que le piden al usuario que haga clic. El estafador incluso llegará a manipular el nombre del remitente en el encabezado del correo electrónico para que coincida con el proveedor, incluso utilizando un dominio válido sin marcar para evadir las verificaciones de seguridad.
El destinatario desprevenido ve un correo electrónico de una marca de firma electrónica que conoce en un proceso con el que está familiarizado y que no genera señales de alerta. Al hacer clic en el correo electrónico, se accede a una página de destino falsificada donde las credenciales de usuario para ProofPoint, Microsoft 365 u otras aplicaciones se pueden fisgonear fácilmente.
El éxito de este esquema de phishing depende completamente de la familiaridad que los usuarios depositan en la marca del proveedor de la firma electrónica y la uniformidad de sus comunicaciones en toda su base de clientes. Un correo electrónico de notificación de una organización parece ser muy similar al siguiente, lo que brinda una oportunidad para que los estafadores lancen campañas masivas de correo electrónico de phishing como la identificada por Armorblox. El enfoque prácticamente adormece al consumidor desprevenido.
Cómo la configuración sin etiquetas detiene este escenario de phishing
Con una solución de firma electrónica de configuración sin etiquetas, como OneSpan Sign, el negocio puede poner su propia marca en primer plano, lo que limita el atractivo para los posibles estafadores. Al personalizar el contenido, los colores, el logotipo y otros elementos de los correos electrónicos de su organización, puede crear un estilo único que requeriría demasiado esfuerzo individual para que valga la pena el esfuerzo de los personajes infames. Las campañas generales de phishing que persiguen un grupo mucho más grande de objetivos marcados por el proveedor de firmas electrónicas son un terreno mucho más fértil.
Sin embargo, no nos detenemos allí. OneSpan Sign también se puede integrar en sus servidores de correo electrónico para permitir que todas las comunicaciones se envíen exclusivamente desde su dominio. Esto crea una capa adicional de confianza y consistencia en su proceso, al tiempo que conduce a tasas de finalización más altas y un tiempo de finalización más rápido para los flujos de trabajo comerciales que generan ingresos y clientes.
Si se intentara el mismo ataque contra los usuarios de un cliente de OneSpan Sign, sería mucho más probable que se detengan. El correo electrónico se habría originado en el lugar equivocado, incluiría la marca equivocada o tendría un logotipo que el usuario no reconoce. El phishing depende de la percepción de legitimidad y de un llamado a la acción urgente que exige un clic inmediato. Si puede despertar las sospechas del lector, puede significar la diferencia entre un clic desafortunado y la denuncia de un intento de phishing.
Descubra más formas de combatir el phishing
Este esquema de phishing para imitar correos electrónicos de procesos de firma electrónica no es nuevo y su prevalencia está aumentando. Consulte este artículo de blog de mayo de 2022, “Phishing: Attackers Use E-Signature Software to Send Emails with Malicious Links” para obtener más información sobre estos ataques, así como formas adicionales de proteger a sus clientes y socios comerciales.
eBook
Ataques de ingeniería social en transacciones bancarias
En este e-book informativo, encontrará más información sobre las técnicas de ingeniería social y cómo la autorización de transacciones con Cronto puede ayudarlo a combatir los ataques.
Descargar ahora