Los gestores de riesgos conocen su existencia desde hace tiempo, pero los estafadores por correo electrónico, cada vez más sofisticados, siguen obteniendo pingües beneficios. El año pasado, Action Fraud dijo que recibía unas 8.000 denuncias de estafas de phishing al mes, y las cifras siguen aumentando.
La suplantación de identidad es también la razón número uno de las violaciones de las empresas, ya que los estafadores se dirigen a empleados presionados que tienen muchas más probabilidades de hacer clic en un enlace sospechoso en el trabajo que en casa. Los empleados también suelen realizar sus operaciones bancarias y compras online en los ordenadores del trabajo, lo que aumenta el riesgo general de que se produzca una brecha.
La formación y la comunicación periódicas sobre lo que hay que detectar es ahora una línea de defensa crucial para muchos empresarios. Hemos elaborado una lista de las 10 estafas por correo electrónico más frecuentes que los gestores de riesgos deben conocer en 2017.
1) Cualquier correo electrónico con sentido de urgencia
Los estafadores intentan provocar miedo o, al menos, curiosidad. Las líneas de asunto más utilizadas incluyen palabras como «Atención», «Tu cuenta ha sido cerrada» o «Notificación importante».
2) Uso de la personalización – spear phishing
Esta técnica ha sido responsable de algunas de las mayores violaciones. El objetivo sigue siendo animar al destinatario a hacer clic en un enlace malicioso o a abrir un archivo adjunto, pero los datos personales obtenidos de redes sociales como Twitter, Facebook y LinkedIn generan confianza.
3) HMRC
Los correos electrónicos falsos supuestamente del HMRC siguen inundando las bandejas de entrada. Normalmente dicen que se debe una devolución de impuestos y piden que se revelen datos personales o de pago. Una variante reciente decía que había que crear una cuenta en la pasarela del gobierno, que luego solicitaba datos bancarios personales.
4) FCA
El regulador advirtió recientemente de una serie de correos electrónicos que utilizaban direcciones falsas de la FCA, que aconsejaba borrar sin abrir. Entre las direcciones falsas figuraban fca.updates@fca.org.uk, webmaster@fca.org.uk y press.office@fca.org.uk.
5) Bancos
Los estafadores que se hacen pasar por bancos son una estafa muy arraigada, pero últimamente han mejorado su juego, pareciendo mucho más realistas. Normalmente, los estafadores dicen que una cuenta está suspendida. Los bancos insisten en que no piden a los clientes datos de identificación, como números PIN, ni por correo electrónico ni por teléfono.
6) Amazon
Los correos electrónicos dicen al destinatario que ha pedido productos caros, como relojes de lujo. El objetivo es causar ansiedad sobre una supuesta transacción y se solicita que hagan clic en un enlace para obtener un reembolso. Las direcciones de correo electrónico contienen el nombre de Amazon, pero no son auténticas, es decir, pagos-amazon.com.
7) Gmail
Recientemente, Gmail de Google ha sido noticia por el envío por parte de estafadores de un falso correo electrónico realista para intentar obtener datos de acceso. El correo electrónico parece proceder de alguien que el destinatario conoce (es decir, de sus contactos de correo electrónico) y, al hacer clic en el archivo adjunto, se redirige a una página falsa de inicio de sesión en Google. Si se completa, los delincuentes pueden acceder a la carpeta de enviados y perpetuar la estafa.
8) PayPal
Los estafadores que se hacen pasar por PayPal también juegan con la sensación de miedo, como decir que personas desconocidas parecen estar utilizando la cuenta del destinatario y que, por tanto, hay que cambiar la contraseña.
9) Manzana
Como era de esperar, los estafadores quieren utilizar el nombre de Apple y, normalmente, el correo electrónico dice que se debe un reembolso de la tienda iTunes. Se indica al destinatario que visite un sitio que parece idéntico al de Apple y se le pide que introduzca datos personales y de la tarjeta para obtener el reembolso.
10) Catástrofes
A menudo, cuando se produce una catástrofe, los estafadores crean sitios web fraudulentos de organizaciones benéficas para intentar obtener donativos.
