Esta temporada de impuestos, ahorre el desprecio y proteja …



Como profesionales de la seguridad, es fácil mostrarse cínico sobre la continua proliferación del robo de identificación fiscal y culpar a los propios consumidores. Pero eso no ayuda a nadie.

Lo escuchamos todos los años en este momento: estafas de phishing dirigidas al consumidor en las que los piratas informáticos buscan declaraciones de impuestos. Todos somos conscientes de las motivaciones detrás de estos esquemas. Ahora ha llegado al punto de que el El IRS emite una advertencia sobre estafas de phishing cada enero, instando a los consumidores a presentar lo antes posible para evitar ser víctimas.

El mayor desafío con el robo de identificación fiscal a través del phishing es que las víctimas no saben que han sido atacadas hasta que es demasiado tarde. Como profesionales de la seguridad, es fácil mostrarse cínico sobre la continua proliferación de estas estafas y culpar a los propios consumidores. He estado viendo artículos de miembros de la comunidad de seguridad que toman un tono de condescendencia y sarcasmo. Casi puedes escuchar a los autores suspirar profundamente e imaginar los ojos exasperados.

Apelo a mis colegas profesionales de seguridad: esta temporada de impuestos, dejemos de lado el desprecio hacia las víctimas de estafas de phishing. Subestimar la efectividad del phishing y culpar a sus víctimas no ayuda a nadie. Por ejemplo, en febrero, los ciberdelincuentes se aprovecharon intencionalmente de los temores y preocupaciones del público sobre el coronavirus enviando enlaces maliciosos enmascarados como información que los consumidores pueden usar para protegerse del virus. Con el coronavirus en todos los medios, ¿puede culpar a los consumidores por hacer clic en una URL que promete seguridad e información?

Un tono de condescendencia también ignora el daño actual y creciente que causa el phishing a la relación de confianza entre consumidores y marcas, empresas tecnológicas y agencias gubernamentales. Además, vale la pena señalar que los consejos que a menudo damos a los consumidores no son infalibles. Casi la mitad de todos los sitios falsificados ahora están registrados por SSL, explotando la confianza que los consumidores han depositado en visitar lo que creen que son URL «https» seguras con el ícono del candado common. Y los dominios de phishing y los correos electrónicos enviados a los clientes son más sofisticados que nunca. De hecho, 97% de las personas en todo el mundo no pueden identificar un correo electrónico de phishing sofisticado.

Centrarse en lo que importa
Pido que nos centremos en mejores formas de cerrar estos ataques insidiosos antes de que puedan tomar fuerza. La buena noticia es que la comunidad de seguridad ya ha creado las herramientas y la tecnología necesarias para resolver este problema. Solo necesitamos refinarlos y apuntarlos en la dirección correcta.

En este momento, los defensores están poniendo mucho énfasis en el filtrado de correo electrónico y el monitoreo de dominios. Ambas herramientas son valiosas, pero son solo piezas de un rompecabezas más grande y complejo. Por ejemplo, es inteligente usar el filtro de correo electrónico antiphishing para asegurarse de que los mensajes de correo electrónico falsos no lleguen a los empleados de su empresa, pero un número creciente de estafas de phishing emplean técnicas de ingeniería social para engañar a las personas para que entreguen información confidencial, en unique texto.

Además, el filtrado de correo electrónico ayuda a mantener seguros a sus empleados, pero ¿qué pasa con las cuentas de correo electrónico de sus clientes? Y sí, es su problema si los clientes son engañados. No olvide que según las leyes de privacidad del consumidor, como GDPR y el CCPA recientemente promulgado, su empresa es legalmente responsable de la pérdida de datos del cliente causada por el phishing, incluso si nunca supo que su marca estaba siendo objetivo de una campaña.

En cuanto a las soluciones de software de monitoreo de dominio, están diseñadas para alertar a las empresas cuando ciertos dominios han tenido un cambio de estado o necesitan ser renovados. Pero no alertan a los equipos de seguridad cuando se publica una nueva URL falsificada o detectan todas las falsificaciones. De acuerdo a Tecnologías de Dell, Se lanzan aproximadamente 30,000 URL falsas todos los días. Estas URL suelen alternar entre malicioso y legítimo, como se informó en un reciente Informe del grupo de trabajo contra el phishing. El gran volumen y el estado constante de flujo hacen que sea difícil para cualquier solución de monitoreo de dominio monitorearlos e identificarlos a todos.

Los defensores deben considerar estrategias escalables en tiempo serious que mejoren la detección desde el momento en que se lanza un sitio o página falso. (Nota del editor: la compañía del autor ofrece una solución relacionada). El problema con el enfoque precise para la detección de phishing es que cuando la víctima hace clic en el enlace y visita el sitio falso, es demasiado tarde. El consumidor que intenta presentar una declaración de impuestos true solo para saber que otra persona ya presentó una a su nombre es un ejemplo perfecto.

Poner fin a la culpa culpable
Es fácil echarle la culpa a los clientes, diciéndonos que «deberían saber mejor» que hacer clic en una URL en un correo electrónico de alguien que no conocen. Pero como dice el dicho: «No sabes lo que no sabes». Los clientes creen que los correos electrónicos y los textos que contienen URL falsas provienen de una marca que conocen y en la que confían. Y bien podría ser tu marca. Esa es la parte más insidiosa de un ataque de phishing. Depende de nosotros, los defensores, innovar nuevas formas de resolver este molesto problema.

Contenido relacionado:

El Dr. Salvatore Stolfo es el fundador y CTO de Allure Protection. Como profesor de inteligencia artificial en la Universidad de Columbia desde 1979, el Dr. Stolfo ha dedicado una carrera a descubrir cómo piensan las personas y cómo hacer que las computadoras y los sistemas piensen como las personas. Dr. Stolfo has … Ver biografía completa

Más suggestions





Enlace a la noticia initial