La aparición de COVID-19 conduce a un aumento del 37% en los ataques de phishing móvil en 2020


Un estudio de Lookout descubrió que las organizaciones podrían perder millones a través del creciente número de ataques de phishing móviles no mitigados.

istock-916200122.jpg

Imagen: Getty Visuals / iStockphoto

El phishing móvil está en aumento según un nuevo estudio de la empresa de ciberseguridad Lookout, que encontró un aumento del 37% en el phishing móvil empresarial en el primer trimestre de 2020. El Informe Highlight de Phishing Móvil 2020 analiza en detalle cómo están aumentando los intentos de phishing y los costos potenciales para las empresas si alguno de estos intentos tiene éxito. Los ciberdelincuentes ahora realizan ataques de phishing a través de una amplia variedad de métodos, incluidos SMS, redes sociales y aplicaciones de mensajería además del correo electrónico.

Según los datos recopilados por los investigadores de Lookout, las amenazas de phishing móvil no mitigadas podrían costar a las organizaciones con 10,000 dispositivos móviles tanto como $ 35 millones por incidente, y hasta $ 150 millones para organizaciones con 50,000 dispositivos móviles.

«Los teléfonos inteligentes y las tabletas son dispositivos confiables que se encuentran en la intersección de la identidad particular y profesional de su propietario», dijo David Richardson, vicepresidente de gestión de productos de Lookout. «Los ciberdelincuentes están explotando la capacidad de diseñar socialmente a las víctimas en su dispositivo móvil para robar sus credenciales o datos privados confidenciales».

VEA: Coronavirus: políticas y herramientas de TI críticas que toda empresa necesita (TechRepublic Premium)

El informe desglosa los intentos de phishing móvil por región e industria para mostrar cuán generalizados se están volviendo estos tipos de ataques. Parte de por qué el phishing móvil se ha vuelto tan exitoso es porque a los empleados se les permite usar sus propios dispositivos en el lugar de trabajo, lo que brinda a los atacantes una forma de atacar a grandes grupos a la vez usando números de teléfono en un código de área en unique.

Los atacantes ahora también pueden duplicar las IU para obtener una imagen casi perfecta de píxeles, y en los dispositivos móviles puede ser difícil para las personas ver que los sitios net o las URL son fraudulentos.

En el informe, los investigadores de Lookout atribuyen el aumento del 37% entre finales de 2019 y el primer trimestre de 2020 a las campañas de phishing centradas en COVID-19, donde los atacantes saben que más personas pasan tiempo en sus teléfonos en casa y están interesadas en aprender más Información sobre el virus.

Los cibercriminales se dirigen intencionalmente a industrias muy reguladas debido al alto valor de sus recursos, sabiendo que solo un error de un solo empleado podría hacer que toda la pink sea susceptible.

A partir de los datos de Lookout, sus investigadores encontraron que el 15.5% de los ataques estaban dirigidos a hospitales, mientras que el 14.9% buscaban servicios profesionales. Las empresas de servicios financieros llegaron al 10%, mientras que la manufactura fue del 6,3%, y el gobierno ocupó el quinto lugar con el 4,4%.

Cuando se desglosan por región, los datos muestran que este es un problema international al que se enfrenta cada parte del mundo. Las tasas de encuentros de phishing en empresas registradas trimestralmente muestran incrementos secuenciales de 66.3% en Norteamérica, 25.5% en Europa, Medio Oriente y África, y 27.7% en Asia Pacífico.

El informe incluso desglosa el número de clics por encuentro de phishing.

«Al observar las tasas de faucet de los usuarios empresariales que realmente se involucran con una URL de phishing, queda claro que esos usuarios aprenden rápidamente de sus errores después del compromiso inicial con un enlace de phishing en su dispositivo propiedad de la compañía o dispositivo own que usan para el trabajo, «decía el informe.

«Sin embargo, a los usuarios de dispositivos de consumo parece no importarles tanto. Dado que el dispositivo que están utilizando no está vinculado a la infraestructura y los datos corporativos, el bloqueo de una URL maliciosa es más un inconveniente. Es interesante observar que las empresas y los consumidores los usuarios tienen hábitos opuestos casi polares en este caso «.

El estudio incluye un gráfico que muestra que aproximadamente el 45% de los usuarios empresariales, independientemente del dispositivo, finalizan un encuentro de phishing después de solo un toque, mientras que los consumidores continúan participando en un intento de phishing más allá de seis clips.

VER: Ataques de phishing: una guía para profesionales de TI (descarga TechRepublic)

Los investigadores de Lookout se sumergieron en los números y evaluaron el riesgo financiero del phishing móvil para una organización, compilando una cantidad de puntos de datos, incluida la cantidad de dispositivos móviles, la combinación entre Android e iOS, si la organización united states un Cell Unit Manager y cuántos registros de datos que posee la organización.

El informe muestra que las amenazas de phishing móvil no mitigadas podrían costar a las organizaciones con 10,000 dispositivos móviles tanto como $ 35 millones por incidente, y hasta $ 150 millones para organizaciones con 50,000 dispositivos móviles.

Además de las estadísticas sobre intentos de phishing, el estudio incluye un ejemplo detallado de iniciativas de ataque específicas contra los clientes de un importante banco canadiense en febrero. Los ciberdelincuentes crearon sitios internet falsos que se parecían mucho a Scotiabank o Royal Bank y lanzaron un mensaje de texto masivo con un número canadiense «pidiéndole al destinatario que haga clic en un enlace para iniciar sesión en su cuenta». Al hacer clic en el enlace, los clientes fueron llevados al sitio móvil de aspecto real.

«Hay muy poco para informarle a un cliente de Scotiabank o RBC que esta página de inicio de sesión puede ser falsa o nefasta. Las URL son los únicos obsequios reales de que se trata de páginas falsas. Es possible que las personas no presten atención a la dirección website porque están programadas para moverse rápidamente por las pantallas de inicio de sesión y, a menudo, verlas como una molestia «, señala el informe.

«Los actores maliciosos han tomado nota de la dependencia que tenemos de los dispositivos móviles. Desde su perspectiva, el phishing móvil es a menudo la forma más barata de comprometer a una persona u organización. Tradicionalmente, la gente piensa que esto solo puede suceder por correo electrónico, pero según Verizon, El 85% del phishing móvil ocurre fuera de las aplicaciones de correo electrónico. Combinar el hecho de que más del 96% de los usuarios móviles tienen aplicaciones de comunicación o sociales en sus teléfonos y las organizaciones están sacrificando la seguridad móvil pone a todos en riesgo «.

En su informe sobre el ataque en ese momento, Apurva Kumar y Kristin Del Rosso de Lookout dijeron casi 4.000 personas fueron víctimas al ataque Los ciberdelincuentes detrás de él crearon más de 200 sitios web de bancos falsos antes de que los bancos fueran notificados y evitaron que más clientes hicieran clic en los enlaces de los textos.

Pero la situación fue un recordatorio de que el phishing móvil está aumentando porque las pantallas más pequeñas y las URL acortadas dificultan la detección de un ataque.

«El phishing se ha convertido en un problema masivo que se expande mucho más allá del anzuelo y el anzuelo tradicional del correo electrónico», dijo Phil Hochmuth, vicepresidente de movilidad empresarial del programa en Worldwide Knowledge Corporation, en un comunicado de prensa.

«En una pantalla pequeña y con una capacidad limitada para examinar enlaces y archivos adjuntos antes de hacer clic en ellos, los consumidores y los usuarios comerciales están expuestos a más riesgos de phishing que nunca. En un mundo móvil primero, con el trabajo remoto convirtiéndose en la norma, la defensa proactiva contra estos ataques es fundamental «.

Ver también



Enlace a la noticia first