La llamada telefónica que te engancha
Un nuevo tipo de correo electrónico de phishing no necesita que hagas clic, abras un archivo adjunto o respondas.
Funciona haciéndote llamar por teléfono.
Cuando se trata de phishing, la advertencia se ha lanzado durante los últimos 20 años más veces de las que cualquiera puede contar.
No hagas clic en enlaces sospechosos. No abras archivos adjuntos inesperados.
En su mayor parte, la gente se ha vuelto bastante buena en seguir ese consejo la mayor parte del tiempo.
Las herramientas de seguridad de correo electrónico se han vuelto más inteligentes, así que los criminales hicieron lo que siempre hacen: se adaptaron.
Conozca al EAOT — Entrega de Ataque Orientada al Teléfono. Envíe a alguien un correo electrónico convincente sin enlace malicioso, sin archivo adjunto peligroso, nada que un escáner de seguridad detecte: solo un número de teléfono. Luego espere a que la víctima levante el teléfono y llame a ellos.
Estafas Industrializadas
Algunas empresas de ciberseguridad han dicho que ahora hay aproximadamente 10 millones de ataques EAOT cada mes. Los investigadores han medido un aumento del 554% interanual en campañas de phishing habilitadas por teléfono.
Esto es crimen organizado y profesionalizado. Las plataformas clandestinas alquilan "agentes" de centro de llamadas multilingües, marcadores automáticos y sistemas de identificación de llamadas falsificadas por una tarifa mensual de suscripción.
No se requiere habilidad técnica.
Qué sucede
Un objetivo recibe un correo electrónico diciendo que se le ha cobrado una cantidad por una suscripción que no reconoce. Hay un número al que llamar para cancelar. Si el objetivo llama a ese número, una persona amable y profesional responde, pide su nombre, luego dice que necesita acceso remoto a la computadora del objetivo para procesar el reembolso. A partir de ahí, instalan malware silenciosamente, obtienen credenciales bancarias, o vacían cuentas mientras.
No cuestionamos lo que nos dice una representante de servicio al cliente útil de la misma manera que cuestionaríamos las mismas instrucciones en un correo electrónico.
Funciona porque aunque hemos aprendido a ser sospechosos de los enlaces, todavía confiamos demasiado en la voz humana.
Los criminales saben esto. Y con la clonación de voz por IA ahora capaz de reproducir la voz de alguien a partir de menos de un minuto de audio, esas voces se están volviendo más difíciles de cuestionar.
Cinco cosas que puedes hacer ahora mismo
1. Trata las facturas inesperadas como culpables hasta que se demuestre su inocencia. No llames al número en el correo electrónico. Encuentra la información de contacto oficial de la empresa en su sitio web real. Ten cuidado con los anuncios de Google y Bing que pueden pretender ser el sitio web oficial.
2. Ningún negocio legítimo te pedirá que descargues software para obtener un reembolso. Si alguien al teléfono te pide que instales algo, cuelga.
3. La urgencia es una táctica de manipulación. El servicio al cliente legítimo no te presiona. Ve más despacio; cuando lo haces, a menudo descubres que la estafa se desmorona.
4. Verifica a los llamantes a través de canales que controlas. Si alguien dice ser de tu banco, cuelga y llama al número en la parte trasera de tu tarjeta. La identificación de llamadas puede ser falsificada.
5. Repórtalo, no solo lo elimines. Si un correo electrónico sospechoso llega a tu bandeja de entrada, utiliza el botón "Reportar phishing" de tu organización para señalarlo a tu equipo de TI o de seguridad. Cada informe ayuda a tus defensores a detectar patrones, bloquear futuros ataques y proteger a tus colegas.
La mejor defensa
El único límite de los ciberdelincuentes en el mundo actual es su imaginación. Intentarán manipularte por correo electrónico, mensaje de texto, redes sociales y por teléfono. Con la IA, pueden hacer esto mejor y más rápido que nunca.
A pesar de toda la tecnología avanzada de ciberseguridad tratando de detenerlos, los criminales continúan encontrando maneras de hacer llegar sus ataques a sus objetivos.
Las personas siguen siendo la línea de defensa más fuerte de una organización contra la manipulación avanzada altamente dirigida.
¡Mantente informado, motivado y seguro!