Ha habido un aumento constante en las estafas y ataques de COVID-19 desde que la nueva pandemia de coronavirus se generalizó en febrero. Teniendo en cuenta el rápido despliegue de trabajadores remotos, ahora es el momento para que los equipos de seguridad empresarial eduquen a sus usuarios sobre estas estafas y técnicas de ataque e impedir comprometer sus sistemas de trabajo, lo que podría provocar una violación o pérdida de datos en su organización.
Las técnicas de fraude más frecuentes y los consejos en medio de la crisis por la pandemia son:
Páginas web “informativas” falsas sobre el COVID-19
Desde el comienzo de la pandemia, los estafadores han creado sitios web fraudulentos para atraer a los desprevenidos a descargar malware. Son sitios web que se asemejan a páginas legítimas. Estas páginas web incluso se venden en kits ya listos que cuestan entre US$ 200 y US$ 700 en foros en línea. Algunos incluso cargan mapas de áreas infectadas con datos reales de la OMS que en realidad es un programa malicioso.
Consejo: Digitar directamente las direcciones web en los navegadores evitando seguir vínculos desde correos o redes sociales y verificar que sean sitios seguros (buscar el ícono del candado al costado de la dirección web)
El phishing (suplantación de identidad)
En las últimas semanas, los correos electrónicos de phishing relacionados con COVID-19 han estado circulando por todas partes. Algunos intentan engañar a las personas de finanzas para que proporcionen información de órdenes de compra; otros relacionados con ayuda gubernamental en torno al impacto financiero de la pandemia. Son correos difíciles de identificar por lo que un buen programa de seguridad en línea actualizado es fundamental.
Los laboratorios de Bitdefender también han detectado ataques que apuntan a los padres, ataques que usan entidades de gobierno para intentar asustar a la gente a la acción y otras técnicas de ingeniería social. Estos incluyen afirmaciones de que los niños han estado expuestos a nuevos coronavirus y que pueden necesitar ser puestos en cuarentena y buscar información personal que pueda usarse para el robo de identidad.
Consejo: Contar con un buen programa de seguridad en línea y tenerlo siempre actualizado. Verifique la dirección de correo electrónico del remitente, desconfía de mensajes con errores en escritura y de aquellos que sean inquietantes.
Posibles estafas de caridad COVID-19: dar a los necesitados, no a los codiciosos
Siempre que haya una crisis humanitaria de cualquier tipo, los estafadores salen con estafas de SMS, voz y phishing, intentando atraer donaciones. Bitdefender ha advertido sobre posibles nuevas estafas de caridad del coronavirus, ya que los estafadores quieren aprovecharse de aquellos con la capacidad de ayudar económicamente.
Consejo: Verificar el estado del registro de la organización benéfica, investigar la historia y los antecedentes de la organización así como buscar en Google posibles pistas. Vale la pena compartirlas con el personal y los contratistas.
El peligro de las estafas de asistencia médica y asistencia gubernamental
Los estafadores ahora se enfocan en obtener una parte de las nuevas pruebas de alivio de coronavirus de las personas
Consejo: No dar a nadie información de “inscripción” como por ejemplo para los bonos solidarios del gobierno o el retiro de AFP. Siempre validar directa y personalmente en las páginas oficiales (buscar el candado al costado de la dirección).
Aumento de estafas involucrando el correo electrónico empresarial
El coronavirus también se utiliza como parte central de las estafas de compromiso de correo electrónico comercial. Bitdefender advirtió sobre estafas telefónicas y ataques de phishing de delincuentes que fingen ser trabajadores de caridad o trabajadores del gobierno enviando correos con enlaces a sitios web con descargas maliciosas y archivos adjuntos para que puedan tomar el control de las computadoras del usuario.
A diferencia de los ataques de phishing estándar, estos ataques se dirigen específicamente a los usuarios comerciales, generalmente los usuarios que realizan transferencias de fondos. En estos esquemas, los atacantes afirman estar con un vendedor u otra organización afiliada a la organización e intentan diseñar socialmente información financiera o iniciar sesión con credenciales desde sus objetivos. Los correos electrónicos utilizados por los atacantes son casi idénticos a la dirección de correo electrónico real del funcionario.
Consejo: La mejor manera en que el personal puede evitar ser engañado por un ataque de este tipo es verificar la autenticidad de las solicitudes de envío de dinero hablando directamente con la persona que se supone envió el correo. No confiar solamente en el correo electrónico.
Con gran número de nuevos trabajadores remotos los estafadores continuarán tratando de explotar el miedo, la confusión y el deseo de información. Las organizaciones necesitan implementar todos los controles de seguridad atenuantes que puedan. Pero también deben mantener a los empleados informados para que puedan reconsiderar antes de actuar ante un próximo ataque de phishing, vishing o SMS, tentando descargas de aplicaciones maliciosas o técnicas de ingeniería social que los atacantes usan para engañarlos.