Los ataques de phishing son una manera fácil para que los delincuentes obtengan acceso a sus cuentas y, a menudo, dependen de fallos de vigilancia al leer los correos electrónicos.
Prensa.- ¿Has notado lo difícil que es hoy en día diferenciar un correo electrónico real de un correo electrónico de phishing
Como habrás adivinado, esto se debe recientemente a la IA generativa, siendo la herramienta más utilizada ChatGPT. Decidí pedirle a ChatGPT la definición de correo electrónico de phishing y aquí está la respuesta:
Los correos electrónicos de phishing son mensajes fraudulentos diseñados para engañar a los destinatarios para que revelen información confidencial o realicen acciones dañinas haciéndose pasar por fuentes confiables.
Esta definición prácticamente lo resume en una frase. Luego le pedí a ChatGPT que me diera un ejemplo de un correo electrónico de phishing y aquí está la respuesta:
Ciertamente, aquí tienes un breve ejemplo de un correo electrónico de phishing:
Asunto: Se requiere verificación urgente de cuenta
Estimado [su nombre],
Hemos detectado actividad inusual en su cuenta bancaria. Para proteger sus fondos, haga clic en el enlace a continuación para verificar los detalles de su cuenta de inmediato:
[Enlace malicioso]
Si no lo hace dentro de las 24 horas, su cuenta será suspendida temporalmente.
Atentamente,
[Nombre del banco falso]
En este ejemplo, el correo electrónico dice ser de un banco e insta al destinatario a hacer clic en un enlace para verificar su cuenta. Sin embargo, el enlace es malicioso y está diseñado para robar información confidencial del destinatario.
En cuestión de menos de cinco segundos, cualquiera podría tomar este ejemplo y convertirlo en un correo electrónico de phishing real y crear un proceso automatizado que haga ping a millones de destinatarios de correo electrónico. Solo necesita que una persona responda o haga clic en el enlace o abra el archivo adjunto y ahora todo el condado está potencialmente comprometido. El resultado podría generar millones en rescate y/o recuperación.
Entonces, ¿cómo podemos protegernos hoy en día de los correos electrónicos falsos o de phishing? Yo ofrecería las siguientes sugerencias:
- Es muy importante verificar el correo electrónico del remitente. Si bien el nombre del remitente visible puede parecer real y parecido al de alguien que conoce, si pasa el cursor sobre el nombre del remitente, puede descubrir que el correo electrónico no es un correo electrónico reconocible que pertenezca al remitente.
- Si el correo electrónico le solicita información personal o dinero, NO responda. Elimina el correo electrónico y bloquea al remitente. Si es un correo electrónico que recibió en el trabajo, siga las instrucciones de su departamento de TI para denunciar el correo electrónico de phishing.
- No abra archivos adjuntos relacionados con el correo electrónico de phishing, y
Definitivamente no «cancelar la suscripción» si esa es una opción en la parte inferior. A menudo, la función «cancelar suscripción» le llevará a un sitio malicioso. - Si es un correo electrónico que solicita información personal o si es de una institución financiera y no envió una solicitud a esa organización o institución, lo más probable es que sea un correo electrónico de phishing.
- Siempre verifique con la organización o institución financiera levantando el teléfono, llamando y preguntando si el correo electrónico que recibió es legítimo. Y utilice un número de teléfono conocido (no uno que esté en el correo electrónico de phishing)
- Finalmente, los condados deberían invertir en herramientas que eduquen y prueben periódicamente a los empleados sobre sus conocimientos sobre los correos electrónicos de phishing. Cuanto más frecuente sea la educación (incluidos los vídeos) y las pruebas, mejor preparados estarán sus empleados para reconocer los correos electrónicos de phishing.
Estas son sólo algunas sugerencias que deben compartirse tanto con sus empleados como con proveedores u otras entidades con las que colabore.
Una última sugerencia es asegurarse de que sus contratos incluyan un texto que requiera que el proveedor u otra entidad que brinde servicios al condado ofrezca educación sobre phishing y pruebas de phishing para sus empleados.
Desafortunadamente, no puedo decir que será más fácil detectar estos correos electrónicos de phishing. Los condados deben permanecer atentos y brindar capacitación y recordatorios constantes a todos los empleados.
Para obtener más información sobre el phishing, visite este enlace que se encuentra en el sitio de la Alianza Nacional de Ciberseguridad.