Los ataques orientados por teléfono (Telephone-Oriented Attack Delivery / TOAD,
por sus cifras en inglés) van en aumento. Para proteger al personal, los
líderes deben implementar controles de identidad sólidos.
Aunque la frase «ataque TOAD» (SAPO en español) puede parecer
extraña, es una descripción de un nuevo tipo de ataque peligroso que afecta a
las empresas.
TOAD significa entrega de ataques orientados por teléfono, una forma de
ataque de phishing de múltiples capas que combina elementos como texto o
mensajes instantáneos (SMiShing), voz (Vishing) o correo electrónico con
ingeniería social para engañar a los usuarios
para que revelen información personal o financiera. datos.
Un
ataque TOAD es una forma relativamente nueva de ataque de phishing
que
combina técnicas de phishing de voz y correo electrónico. Los atacantes pretenden engañar a los usuarios para que revelen información
confidencial por teléfono, como credenciales de inicio de sesión o datos
financieros, haciéndose pasar por una figura de autoridad confiable. Llamarán
a la víctima y afirmarán ser un representante de una empresa u organización
acreditada. Luego, le enviarán un correo electrónico que contiene un enlace o
un archivo adjunto de phishing.
Según el
informe State of the Phish de 2024 de Proofpoint, cada mes se realizan 10 millones de ataques TOAD, y el 67% de las empresas
a nivel mundial se vieron afectadas por un ataque de este tipo en 2023.
El aumento de los ataques TOAD puede atribuirse en parte a ataques de phishing
más sofisticados habilitados por la IA, afirma Tope Olufen, analista senior de
Forrester. Además, a medida que más organizaciones adoptan la autenticación
multifactor (MFA), los actores de amenazas han tenido que volverse más
creativos con la ingeniería social, añade.
«Los ataques de vishing son una gran amenaza para las empresas y con el
aumento de la IA generativa que permite que la tecnología parezca más humana
que antes, podría dejar a las empresas más vulnerables a los estafadores de
voz», añade Shelby Flora, directora general de Seguridad de Accenture Reino Unido
e Irlanda.
«En los negocios, estamos viendo más amenazas a objetivos de alto valor
como los ejecutivos, que pueden verse comprometidos por estafadores de voz
efectivos».
Anatomía de un ataque TOAD
Antes de atacar, los estafadores recopilan las credenciales de la víctima de
diversas fuentes, como filtraciones de datos anteriores, perfiles de redes
sociales e información adquirida en la web oscura. Armados con esto, se
comunicarán con la persona a través de aplicaciones como WhatsApp o la
llamarán.
«La ingeniería social va en aumento y se está volviendo más sofisticada.
Los ciberdelincuentes intentarán crear un perfil detallado de sus víctimas
potenciales (como personas de nivel directivo y directivo), detalles de sus
hijos, a qué universidad asistieron, si un entusiasta jinete, etc., y un
mensaje para tratar de obtener una respuesta», dice Joel Stradling, director de investigación de Seguridad y Privacidad
Europeas de IDC.
Las víctimas pueden recibir una llamada o un mensaje de alguien que dice ser
un colega, un cliente o de un centro de llamadas acreditado que luego utiliza
la información que han recopilado para «probar» que son quienes dicen ser.
Una vez establecida la confianza, es probable que envíen un mensaje de texto o
un correo electrónico a la víctima animándola a hacer clic en un enlace
malicioso o descargar un archivo adjunto que les permita eludir las
ciberdefensas tradicionales de una organización, como MFA.
Y
estas técnicas siguen avanzando. Uno de los aspectos más sofisticados de los TOAD puede ser la suplantación
de números o correos electrónicos, donde toman la identidad de alguien que
usted conoce para comunicarse con usted.
«Podría ser cualquier persona, desde tu madre hasta tu banco», señala
Stradling.
En un caso, desde Toronto, Canadá, un empleado recibió un correo electrónico
solicitándole que llamara a Apple para restablecer una contraseña. Así lo
hicieron y un «especialista» los guió durante el proceso. Una vez obtenida su
contraseña, los ciberdelincuentes pudieron enviar correos electrónicos desde
la cuenta del empleado y engañar a sus colegas para que autorizaran un pago
fraudulento de 5.000 dólares,
informa SmarterSMP.
La IA está reduciendo la barrera de entrada a los ataques TOAD. A principios
de este año, un ejecutivo de Hong Kong
fue engañado
para que transfiriera 20 millones de libras esterlinas de la empresa a
ciberdelincuentes que se hacían pasar por altos funcionarios en una
videoconferencia falsa.
Un riesgo importante para las empresas
Debido a su enfoque de doble canal y su objetivo de individuos específicos,
las empresas deben estar atentas a los ataques TOAD, dice Kevin Curran,
miembro senior del IEEE y profesor de ciberseguridad en la Universidad de
Ulster.
Mitigar estas amenazas requiere una estrategia integral que incluya
capacitación de los empleados, filtrado avanzado de correo electrónico,
procedimientos de verificación para transacciones confidenciales y planes
sólidos de respuesta a incidentes, añade Curran.
Los empleados siguen siendo una de las mayores debilidades de ciberseguridad
de una organización, por lo que la educación del personal debe estar en el
centro de su estrategia si desea defender de forma segura su organización de
los astutos TOAD.
Al priorizar esto y centrarse en los riesgos que plantean dichos ataques y las
tácticas actuales que utilizan los delincuentes, reforzará los buenos
comportamientos cibernéticos. Esto debería implicar ejercicios regulares de
capacitación y simulación que permitan a los empleados reconocer y responder
mejor a los TOAD.
Manteniendo a los TOADs a raya
Una estrategia sólida para mantener a raya a los TOAD también debería incluir
la implementación de soluciones avanzadas de seguridad de correo electrónico
equipadas con inteligencia artificial y aprendizaje automático, que pueden
ayudar a detectar y bloquear correos electrónicos de phishing, señala Curran.
También es crucial establecer procesos de verificación para llamadas no
solicitadas que solicitan información confidencial, al igual que el uso de MFA
para asegurar el acceso a los sistemas corporativos. Se necesitan auditorías y
actualizaciones de seguridad periódicas para identificar vulnerabilidades y
aplicar los parches necesarios, y se debe establecer un plan de respuesta a
incidentes para abordar y mitigar cualquier incumplimiento.
Colaborar y compartir información con otras empresas y grupos industriales
puede proporcionar información valiosa sobre amenazas y estrategias de defensa
nuevas o emergentes. Al combinar tecnología, procesos y personas, las
organizaciones pueden crear una estrategia sólida contra los ataques TOAD.
Sin embargo, que también existe una responsabilidad colectiva para los
gobiernos y organismos como la UE de proteger al sector privado y a los
consumidores públicos de los ataques de TOAD, y señala que le preocupa que
muchas de las regulaciones y leyes parezcan estar un par de pasos por detrás
de lo que lo están haciendo los delincuentes.
Los ataques TOAD son cada vez más sofisticados
Es probable que el futuro de los ataques TOAD se caracterice por su evolución
más que por su extinción, afirma Curran. Forrester espera que los ataques TOAD
evolucionen y se generalicen,
«razón por la cual las organizaciones deben permanecer alerta», afirma
Olufsen.
A medida que los ciberdelincuentes perfeccionan sus tácticas, podemos esperar
que los ataques TOAD se vuelvan más sofisticados y potencialmente aprovechen
nuevas tecnologías. Las empresas y los profesionales de la seguridad
cibernética deben responder desarrollando técnicas de detección y prevención
más sofisticadas, programas mejorados de capacitación de empleados y marcos
regulatorios más sólidos para mitigar estas amenazas.
«En última instancia, si bien es poco probable que la amenaza de los TOADs
desaparezca por completo, su impacto puede reducirse mediante medidas de
seguridad proactivas, una mayor conciencia y estrategias sólidas de gestión
de riesgos», dice Curran.
Zimperium ha publicado una
guía de buenas prácticas y prevención de ataques TOAD.
Fuente:
ITPro
Los comentarios están cerrados.