Ciberseguridad: tenga cuidado con estos trucos únicos de estafadores de los que Loki estaría orgulloso


El fraude en línea se está volviendo más y más sigiloso a medida que los operativos traviesos evolucionan sus técnicas. Aprenda algunos de los trucos únicos que se están llevando a cabo hoy y cómo detectarlos.

Loki, interpretado por Tom Hiddleston

Imagen: Disney

Mi familia y yo disfrutamos del programa de televisión «Loki», que retrata al dios de la travesura implicada en varias travesuras. Pensé en cuántas «variantes» de Loki hay en línea, aunque menos carismáticas, tratando de realizar trucos fraudulentos para estafar a las víctimas con dinero o información de identidad. Los trucos se están volviendo más únicos, desafortunadamente, a medida que las herramientas relacionadas se vuelven más complejas y ampliamente disponibles.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Top quality)

Hablé sobre trucos de estafadores únicos con Rick Song, cofundador y CEO de Persona, un proveedor de soluciones de verificación de identidad, y Johanna Baum, fundadora y CEO del proveedor de seguridad Strategic Stability Options.

Track señaló que ahora es más fácil para los jugadores malintencionados con habilidades tecnológicas mínimas participar en actividades fraudulentas. «Los deepfakes alguna vez fueron implementados por usuarios de tecnología sofisticados, pero ahora son tan simples como descargar una aplicación», dijo.

Tune dijo que hay un gran aumento en el contenido deepfake en World-wide-web, y los aficionados han comenzado a producir movies de suplantación de celebridades que son creíbles para el ojo inexperto. «Los estafadores pueden usar deepfakes para sobornos, para difundir mentiras y desinformación o para hacerse pasar por personas comunes, como alguien en quien confía, para obtener información private y credenciales de inicio de sesión. Esto les permite abrir cuentas de tarjetas de crédito falsas y hacerse cargo de cuentas existentes. , robar dinero de víctimas desprevenidas o acceder a bases de datos completas de información de usuarios para vender en la world-wide-web oscura «, dijo.

Otro ejemplo se llama fraude sintético, por el cual un estafador roba un número de Seguro Social y lo combina con información falsa, como un nombre y una fecha de nacimiento falsos, para crear una identidad falsa o verificación de identificación biométrica utilizando inteligencia artificial y otra tecnología para imitar el rostro. Identidades y software package de reconocimiento facial tonto. «Las empresas deben tener en cuenta múltiples señales, como patrones de comportamiento, para asegurarse de que están evaluando una imagen completa que un estafador no puede replicar fácilmente».

Baum dijo que la mayor parte de la información está disponible sin la participación de la víctima: «La información individual está disponible en múltiples plataformas de redes sociales. Los trucos del estafador no tienen que involucrar a la víctima directamente. Se puede obtener tanta información sin ningún contacto. Las amenazas continuarán aumento de tamaño, frecuencia y daño con un tiempo significativo para que la víctima lo identifique.

«Las estafas relacionadas con las vacaciones y la pandemia continúan aumentando a medida que las personas vuelven a ingresar a las actividades principales», agregó. «Las casas están siendo alquiladas a múltiples partes por impostores que luego cancelan el alquiler y roban los depósitos. Hay problemas similares con múltiples transacciones realizadas en los mismos autos o autos que no son propiedad del supuesto vendedor».

Music dijo que los usuarios y los departamentos de TI deben prestar mucha atención a la información de identificación personal para protegerse contra estos ataques.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

«Los consumidores deben prestar atención a cómo las empresas manejan su PII», dijo. «Deben leer las políticas de privacidad, verificar su configuración de privacidad en cualquier aplicación, sitio world-wide-web o purple social que utilicen, y conocer sus derechos sobre los datos. Además, pueden estar al tanto de las últimas campañas de phishing, especialmente a medida que se vuelven más sofisticadas con la IA. Si busca en Google su nombre, puede descubrir corredores que venden sus datos y optar por no participar. Mientras más datos estén disponibles para que los estafadores los encuentren, más munición tendrán para robar su identidad «.

Agregó que los departamentos de TI deben reconsiderar sus estrategias, desde los sistemas de verificación de identidad hasta el almacenamiento de datos, para mantener seguros a los consumidores y bloquear a los malos actores.

«Las soluciones de IDV pueden mitigar la apropiación de cuentas y el fraude que puede ocurrir durante la incorporación del cliente, el cambio de información de la cuenta y las transacciones de alto riesgo. Sin embargo, las empresas pueden mostrarse reacias a usarlas si creen que dañará la experiencia del usuario, pidiendo al cliente que salte. Los obstáculos podrían hacer que abandonen la transacción antes de que se pueda completar. Las empresas deben buscar soluciones de verificación de identidad que se adapten a sus necesidades. Los departamentos de TI deben asegurarse de almacenar los datos en el menor número posible de lugares, utilizar cifrado y crear un marco que cumpla con los estándares globales de seguridad y privacidad «.

Song dijo que puede ser difícil anticipar lo que se avecina, pero advirtió: «Las empresas pueden protegerse mediante el uso de un enfoque de verificación de identidad de múltiples factores. Las empresas deben recopilar varios puntos de información (identificación con foto, dirección, fecha de nacimiento, SSN) mientras evalúan el pasivo señales como la dirección IP o las huellas dactilares del navegador y cotejar la información recopilada con fuentes de datos de terceros (por ejemplo, listas de riesgos de teléfonos y correos electrónicos). Es elementary realizar comprobaciones continuas durante todo el ciclo de vida del cliente cuando exista un punto potencial de compromiso «.

Pero las cosas cambiarán, agregó. «En el futuro, la experiencia de verificación de identidad deberá evolucionar en función de lo que ven los servicios con señales en tiempo genuine. Por ejemplo, a medida que el servicio detecta una dirección IP sospechosa o un comportamiento de pulsación de tecla, debe adaptar sus requisitos automáticamente y realizar comprobaciones más rigurosas. . «

Ver también



Enlace a la noticia first