Los malos actores continúan dependiendo de los correos electrónicos de phishing, algunos de los ataques más efectivos a las empresas disfrazadas de comunicación interna.
Un estudio 4 de conocimiento que analiza el comportamiento del usuario durante las simulaciones de phishing encontró que aproximadamente el 60% de las fallas involucraban citar correos electrónicos de equipos internos, y casi la mitad se refiere específicamente a RRHH. Algunos de los correos electrónicos de phishing más persuasivos incluyen clips falsos de zoom (videos de formularios cortos que supuestamente del gerente), informes de capacitación de recursos humanos y advertencias del servidor de correo.
Otra estrategia para mejorar la efectividad de estos ataques es usar códigos QR. Los primeros tres códigos QR escaneados por los usuarios están relacionados con la nueva política de drogas y alcohol de recursos humanos, documentos para los mensajes de revisión y cumpleaños enviados de lunes a viernes.
Phishing para la respuesta emocional
Los datos de KnowBe4 son consistentes con el último informe de la Asociación de Profesionales Financieros, que encontró que el 79% de las organizaciones encuestadas experimentaron fraude de pago intento o real durante el año pasado.
La estrategia más común identificada es el compromiso de correo electrónico corporativo, a menudo causado por la suplantación de comunicación interna.
La combinación de correo electrónico convincente e ingeniería social es particularmente efectiva para los ciberdelincuentes. Los malos actores saben que es poco probable que los empleados cuestionen las noticias de recursos humanos o la gerencia y, a menudo, se sientan estresados rápidamente.
Desafortunadamente, una vez que los usuarios hacen clic en enlaces maliciosos o escanean códigos QR, pueden exponer a sus organizaciones a todo, desde fraude de pago hasta ataques de ransomware. Por ejemplo, la reciente violación de la moneda en la oficina de los Estados Unidos, el Auditor General ha dado a los delincuentes acceso a miles de correos electrónicos altamente sensibles durante un año, todo porque han dañado la cuenta de un administrador.
Trabajo en la organización
Además de hacer comunicaciones internas falsas, los delincuentes también fingen ser proveedores en los que confía la compañía. El informe NowBe4 encontró que las organizaciones son muy vulnerables a las comunicaciones de Microsoft, LinkedIn y Google.
El enfoque en el phishing significa que la educación de los empleados es un componente clave de la defensa de fraude organizacional y que se debe pedir a los trabajadores que cuestionen cada intercambio. Pero las organizaciones son cada vez más responsables de pensar fuera de la caja para mantener el problema de fraude por delante de la línea, que está fuera de control.
