El phishing se vuelve más sigiloso: 4 formas de defender su marca

Publicado: 2023-02-06

Hace solo unos años, era fácil detectar el phishing. Si un correo electrónico o texto parecía provenir de una marca real, pero contenía errores ortográficos, mala gramática o logotipos borrosos, podría apostar que alguien estaba tratando de engañarlo para que haga clic en un enlace como parte de una campaña para robar sus datos, dinero , o identidad.

Hoy, sin embargo, detectar comunicaciones ilegítimas no es tan fácil. La mayoría de los ciberdelincuentes son mucho mejores para ocultar sus identidades gracias a las potentes herramientas de piratería de bajo costo o los kits de phishing como servicio en la web oscura. Estas herramientas, muchas de las cuales utilizan inteligencia artificial, pueden hacer que las comunicaciones de incluso los estafadores más analfabetos parezcan profesionales.

Además, con los rápidos avances en ChatGPT de Open AI, un programa gratuito de chatbot de IA creado con capacidades de procesamiento de lenguaje natural (NLP), los piratas informáticos ahora tienen una forma más rápida, mejor y más económica de crear comunicaciones que imitan la personalidad o el tono de una marca.

Con todas estas innovaciones, no es de extrañar que los piratas informáticos pudieran lanzar 255 millones de ataques de phishing en 2022, un 61 % más que el año anterior.

Los observadores dicen que si esta tendencia persiste, lo que es probable, podría llevar a los consumidores a ignorar la mayoría de las comunicaciones de marketing legítimas.

Por qué la seguridad de los datos es fundamental para el futuro de CX

datos_seguridad_cx.jpg Ninguna tecnología puede superar el hecho de que la experiencia del cliente es un esfuerzo humano. Descubra por qué la seguridad de los datos es fundamental para el futuro de CX.

Se acabó el phishing: las 10 marcas más falsificadas

Todas las marcas corren el riesgo de ser falsificadas, pero los estafadores a menudo se dirigen a las grandes empresas de tecnología, los transportistas y las redes sociales.

Estas son las 10 marcas más imitadas en el cuarto trimestre de 2022, clasificadas por su apariencia general en los intentos de phishing de marca, según Check Point Software:

  1. yahoo (20%)
  2. DHL (16%)
  3. microsoft (11%)
  4. Google (5,8%)
  5. LinkedIn (5,7%)
  6. Transferimos (5.3%)
  7. Netflix (4,4%)
  8. FedEx (2,5%)
  9. HSBC (2,3%)
  10. WhatsApp (2,2%)

4 formas de proteger tu marca

El phishing es un gran riesgo para las marcas, su marketing y su reputación.

“Toda esta actividad de phishing puede socavar el valor de la marca porque cuando esos correos electrónicos salen y los consumidores no saben si son válidos o no, a veces asociamos erróneamente nuestras experiencias negativas con la suplantación de identidad de la empresa”, dice Frank Dickson, un analista de la industria de ciberseguridad con IDC.

“Pero la verdad es que incluso las grandes empresas como Microsoft o Google no pueden hacer mucho para frustrar el phishing de manera significativa”.

Entonces, si el phishing es tan difícil de superar, ¿qué puede hacer para minimizar su efecto en su buena marca? Aquí hay algunas sugerencias de expertos de la industria:
  1. Adoptar protocolos de seguridad de correo electrónico
  2. Domina tus dominios
  3. Defiende tus canales de redes sociales
  4. Educa a tus clientes

Con filtraciones de datos en todas partes, la gestión de datos de clientes se vuelve crucial

Imagen de un collage de diferentes fuentes de identificación de clientes: identificación, tarjeta de crédito, teléfono inteligente, seguimiento de ubicación. Mejores prácticas de gestión de datos de clientes Las mejores prácticas de gestión de datos de clientes permiten a las empresas fortalecer su compromiso con las relaciones positivas. El potencial de crecimiento, en el comercio y la confianza, es enorme.

Frustre la amenaza con la seguridad del correo electrónico

Si bien el phishing es difícil de derrotar, las organizaciones pueden al menos ralentizar su avance al implementar protocolos de seguridad clave en el nivel del servidor de correo electrónico.

Hay tres que las empresas tienden a usar en conjunto:

  • Autenticación, informes y conformidad de mensajes basados ​​en dominios (DMARC) es un sistema de validación de correo electrónico diseñado para proteger el dominio de correo electrónico de su empresa para evitar que se utilice para suplantación de identidad, estafas de phishing y otros delitos cibernéticos. DMARC utiliza técnicas de autenticación de correo electrónico como el marco de política del remitente (SPF) y el correo identificado con claves de dominio (DKIM).
  • Sender Policy Framework (SPF) es una técnica de autenticación de correo electrónico para evitar que los spammers envíen mensajes en nombre de su dominio. Esto le da la posibilidad de especificar qué servidores de correo electrónico pueden enviar correos electrónicos en nombre de su dominio.
  • DomainKeys Identified Mail (DKIM) es una técnica de autenticación de correo electrónico basada en firmas que involucra una firma digital que permite al receptor verificar que un correo electrónico fue enviado y autorizado por el propietario de ese dominio.

Antes de estos estándares, los piratas informáticos básicamente podían enviar correos electrónicos con exactamente los mismos dominios que las propias marcas, dice Roger Grimes, un evangelista de defensa de KnowBe4, una plataforma de capacitación en concientización sobre seguridad. Al usar estos protocolos para autenticar los correos electrónicos antes de que puedan ser entregados, muchas grandes empresas lo han detenido.

“Los estándares han tenido tanto éxito que los phishers casi han abandonado el uso de dominios de marca reales y legítimos”, dice Grimes.

Estos no son los archivos de datos que está buscando: Ciberseguridad en esta galaxia

archivos_de_datos.jpg Los rebeldes piratearon la Estrella de la Muerte. ¿Es su organización la siguiente? La protección de los datos de los clientes es una misión crítica. Infórmate sobre las medidas de ciberseguridad que debes tomar ahora.

Domina tus dominios para derrotar a las fuerzas oscuras

Con los protocolos de seguridad de correo electrónico haciendo un gran trabajo cortando una línea de ataques, los piratas informáticos pasaron a crear sus propios dominios. Probablemente los hayas visto. A menudo se parecen mucho a los reales, pero se desvían ligeramente, deslizando un número, letra o símbolo en lugares no obvios.

La mayoría de los piratas informáticos no se molestan en hacer esto manualmente porque existen numerosas herramientas que les permiten crear docenas o incluso cientos de derivaciones falsas. Y es casi imposible encontrarlos todos después de haberlos generado, dice Grimes.

Una solución tecnológica es implementar una herramienta automatizada para identificar dominios similares asociados con su dominio corporativo, dice Dickson de IDC. Básicamente, buscarán tanto en la web pública como en la web oscura y los sitios web profundos para ver quién podría estar falsificando su marca.

Una consideración adicional para convertirse en el maestro de su dominio es suscribirse a un servicio de reputación. Estos también suelen incluir una herramienta de búsqueda para ver quién, si es que hay alguien, se hace pasar por usted.

Pero también pueden tener cientos de personas haciendo la investigación, así como servicios de apoyo, como trabajar con las fuerzas del orden público para acabar con los dominios ilegales, dice Tony Sabaj, un portavoz de Check Point.

Relaciones públicas para internet: Gestión de la reputación online

Imagen de iconos de megáfono y correo electrónico, que representan la gestión de la reputación en línea La gestión de la reputación en línea significa monitorear y participar en actividades en línea para comprender y mejorar la impresión pública de una empresa. En otras palabras, relaciones públicas para internet.

Intensificar la seguridad de las redes sociales

Las marcas también necesitan proteger sus canales de redes sociales de ataques. Si se ven comprometidos, estos canales pueden convertirse en herramientas para lanzar ataques de phishing, dice Grimes.

“Es muy común que un pirata informático ingrese a una empresa, busque en las bandejas de entrada de cuentas por pagar y cuentas por cobrar y luego envíe facturas falsas y cambios en la información bancaria a las personas”, dice, refiriéndose al compromiso del correo electrónico comercial.

"Podrían decir algo como 'oye, solo queremos informarte que estamos cambiando a un nuevo banco y que debes enviar tus pagos a este nuevo número de cuenta y ruta bancaria'".

Crecimiento del comercio social: una cuestión de confianza

FCEE_Social_Commerce_1200x375 Se espera que las compras en las plataformas de redes sociales aumenten tres veces más rápido que el comercio electrónico tradicional, pero las marcas deben generar confianza en los clientes para impulsar la adopción.

Educa a tus clientes (y a cualquiera que te escuche)

Una de las cosas más importantes que una empresa puede hacer para proteger su marca es informar a los clientes sobre la amenaza que representan los ataques de phishing y qué pueden hacer al respecto.

Infórmeles sobre las tendencias actuales de phishing, como los piratas informáticos que envían correos electrónicos no solicitados diciendo que han ganado algo o que se ha retrasado un envío de algo que nunca ordenaron, o que su cuenta ha sido usurpada y requiere soporte técnico.

Además, actualice regularmente a los clientes sobre cómo está trabajando de manera proactiva para combatir el phishing. Finalmente, aproveche cada oportunidad para recordarles a los clientes que deben desempeñar un papel en la protección de sí mismos.

Ofrezca consejos de sentido común como:

  • Sospeche de comunicación digital con nombres de dominio extraños, fuentes, faltas de ortografía, gramática o imágenes . Estos "avisos" no son tan comunes como antes, pero aún existen.
  • Busque discrepancias entre supuestos remitentes, direcciones de correo electrónico, líneas de asunto y el mensaje en sí. Por ejemplo, hace poco recibí un correo electrónico mal redactado que supuestamente provenía de Lowe's afirmando que había ganado un calentador Dewalt. La dirección de correo electrónico del remitente no incluía el nombre de la ferretería. El cuerpo del mensaje estaba rematado con un logo de EA, la compañía de videojuegos. Y en lugar de decirme cómo obtener mi calentador, dijo que había pedido un cambio de contraseña y que podía hacer clic en un enlace para que eso sucediera.
  • Sea escéptico con las comunicaciones que parecen surgir de la nada o que le piden que haga algo que nunca antes ha hecho con el supuesto remitente, como compartir información financiera o de identificación personal (PII).
  • Nunca haga clic en enlaces de personas que no conoce o en las que no confía, especialmente si le piden que elija una nueva contraseña.
  • Además, esté atento a posibles videos falsos profundos , que se utilizan para el phishing. Aunque se están volviendo más ingeniosos, por lo general puedes detectarlos buscando distorsiones visuales como movimientos inusuales de la cabeza o el torso y problemas de sincronización entre la cara, los labios y el audio, escribe Stu Sjouwerman, fundador y director ejecutivo de KnowBe4.

Misión crítica: por qué los CMO se centran en proteger los datos de los clientes

Los CMO_se_enfocan_en_proteger_los_datos_del_cliente_FTR.jpg En la carrera hacia el cumplimiento, la confianza del cliente es la meta. Una violación de datos puede significar pérdidas masivas, por lo que los CMO se están enfocando en proteger los datos de los clientes.

Una batalla interminable

Al final, las empresas deben enfrentarse al hecho de que luchar contra los phishers es una batalla de ida y vuelta. Por cada contramedida que presenten las marcas, los ciberdelincuentes encontrarán otro vector de ataque, razón por la cual permanecer alerta ante las amenazas cambiantes y centrarse en las personas, los procesos y la tecnología es tan importante.

“Seguro que es un juego del gato y el ratón”, dice Sabaj de Check Point. “Pero hay muchas cosas que las organizaciones pueden hacer para prevenir el phishing y deben hacerlo para proteger el valor de su marca”.

¿Quieres perder clientes a un ritmo asombroso?
 No respetes su privacidad de datos.
 En cambio, gane confianza + lealtad
 con una gran estrategia de datos .