Desde la perspectiva de un gerente de TI, cualquier empleado que use una aplicación móvil de este tipo en un teléfono que también usa para negocios abre riesgos para la red corporativa.
La tecnología es más accesible y asequible que nunca, nivelando el campo de juego en todo, desde la educación hasta el comercio electrónico. Una de las últimas innovaciones es en el campo de las finanzas y la inversión. Un sector de la industria fintech emplea algoritmos de aprendizaje automático que pueden predecir el rendimiento de las existencias y hacer recomendaciones.
El hecho de que muchas de estas aplicaciones pisadas sean móviles pone su futuro financiero directamente en sus propias manos. Sin embargo, también hace que su información sea accesible para otros si no se protege de los ataques de phishing. Desde la perspectiva de un gerente de TI, cualquier empleado que use una aplicación móvil de este tipo en un teléfono que también usa para negocios abre riesgos para la red corporativa.
Particularmente preocupante es el spear phishing dirigido a una persona específica. Según un estudio realizado por Iron Scales, el 77 por ciento de estos intentos se lanzan en 10 o menos bandejas de entrada. La línea de asunto y el mensaje lo mencionan por su nombre e incluyen detalles que han encontrado en las redes sociales o en los perfiles profesionales. A menudo, el mensaje pretende ser de un colega o alguien dentro de su organización. Es posible que quieran que revises un sitio web relacionado con el trabajo o los viajes o que te pidan que transfieras dinero para cubrir una emergencia.
Estos correos electrónicos pueden ser muy sofisticados, a menudo utilizando el logotipo real de la empresa y una URL o dirección de correo electrónico similar. La primera bandera roja debería ondear si no tiene una cuenta con la compañía que supuestamente está enviando el mensaje, pero hay otras señales de una estafa:
· Tu nombre está mal escrito
· El nombre de la empresa o compañero de trabajo es incorrecto o está mal escrito
· El mensaje está mal escrito, usa una gramática incorrecta o parece estar en inglés roto
· Piden información personal o de cuenta y contraseñas; ninguna empresa o agencia gubernamental solicita dicha información.
Según una investigación realizada por un experto en seguridad de IOActive, casi todas las 40 plataformas de negociación investigadas tenían algún tipo de vulnerabilidad que podría convertirlo en un objetivo. Estos incluyen aplicaciones de comercio móvil, aplicaciones de escritorio y sitios web. Los problemas van desde la falta de cifrado débil o débil hasta sesiones que no expiraron o cerraron la sesión del usuario cuando el titular de la cuenta cerró su navegador. Se encontraron problemas con grandes nombres como Schwab o E-Trade y plataformas de inversión independientes más pequeñas como Robinhood y Kraken.
Tanto si es un inversor como si posee una plataforma de inversión, puede protegerse y proteger a los demás diseñando aplicaciones y sitios web teniendo en cuenta la seguridad. Para hacer esto, instale y configure correctamente los firewalls en los enrutadores y otros puntos de acceso. Además, la instalación de una VPN en todas las redes y dispositivos conectados para enmascarar su dirección IP, identidad y actividad, protege su red de vulnerabilidades. Muchos utilizan la autenticación multifactor para controlar también el acceso a la cuenta.
Junto con estos pasos para mantenerse protegido, siempre se recomienda hacer una copia de seguridad de todos los datos y almacenarlos sin conexión. Esto lo protege en caso de que su cuenta se vea comprometida.
Una de las mejores maneras de mantener sus datos seguros es cambiar las contraseñas con frecuencia y usar una contraseña segura diferente para cada cuenta.
Phishing y Spear Phishing en acción
Los piratas informáticos pueden lanzar intentos de phishing a personas o empresas. Es posible que incluso haya experimentado un ataque o intento y no se haya dado cuenta. Estos delincuentes acechan las plataformas financieras e intentan infiltrarse en las aplicaciones con la esperanza de llegar a Paydirt. Es importante entender cómo evitar y evitar que estos ataques ocurran en primer lugar. Estos son algunos ejemplos de ataques de phishing / spear phishing y cómo funcionan en acción.
Intentos de phishing contra empresas
Por lo general, se lanzan intentos de phishing contra individuos o grupos de individuos, pero también ha habido varios ataques de alto valor en contra de las empresas.
En 2008, 19 empleados de la compañía Alcoa fueron atacados por hackers chinos que se hicieron pasar por un miembro de la junta. El objetivo era robar secretos comerciales, y se perpetró a través de un código malicioso insertado en el sistema de correo electrónico de la empresa cuando se abrieron los correos electrónicos. resultó en el robo de 800 archivos adjuntos y casi 3,000 correos electrónicos.
Más recientemente, Ubiquiti Networks, Inc. entregó voluntariamente más de $ 40 millones a alguien que se hace pasar por los ejecutivos de C-Suite. Los correos electrónicos fraudulentos pedían a los destinatarios que transfirieran fondos de su oficina de Hong Kong a cuentas de terceros que los piratas informáticos habían creado.
Estafas dirigidas a individuos
Uno de los tipos más comunes de intentos de phishing para individuos y grupos se dirige a la plataforma de pago muy común, PayPal. Incluso he experimentado esto dos veces, pero tuve la mentalidad de llamar a la compañía directamente cuando el enlace que me enviaron me redirigió a un inicio de sesión de cuenta de Twitter. También puede encontrar uno que tenga un tipo de letra y un logotipo similares a los de su plataforma comercial o banco, haciéndolo parecer oficial.
Los correos electrónicos generalmente se dirigen a los titulares de las cuentas por nombre e indican un problema con un pago. Luego, hay un enlace para discutir el asunto más a fondo, que conduce a una página de inicio de sesión o sitio web falso, como lo que sucedió conmigo. Una vez allí, el hacker registra sus pulsaciones de teclas o inserta el código de seguimiento en su navegador.
Esté atento a los impostores del gobierno
Dado que el objetivo principal de una estafa de phishing es el robo de identidad, ha habido casos de piratas informáticos que roban credenciales y usan esa información para dañar el crédito de la persona o estafar a otros.
Es común que los usuarios confíen automáticamente en una entidad gubernamental, y los malos aprovechan esa realidad. Algo tan simple y seguro como invertir en bonos del gobierno puede dar un giro rápido hacia la ruina cuando considera las numerosas estafas históricas que se han perpetrado y se da cuenta de lo simple que es para un phisher dedicado interponerse entre usted y su dinero. La conclusión es que ninguna actividad transaccional relacionada con el gobierno debe considerarse completamente segura cuando se realiza en línea.
Un método común popular es la estafa "Tienes dinero". También hay una variación que afirma tener la sanción del IRS y amenaza al destinatario con acciones legales sobre una deuda del gobierno. En estas hazañas, el hacker finge ser de una agencia gubernamental. Lo contactarán por correo electrónico con una advertencia sobre problemas de impuestos o lo convencerán de que recibirá un reembolso.
Por lo general, hay un enlace que debe seguir para iniciar sesión en una cuenta, pero esta es solo una forma de obtener su información de inicio de sesión y acceder a sus cuentas. Muchos le piden que transfiera dinero o les proporcione información de la cuenta.
Esto es una mentira. Ninguna agencia gubernamental requiere una transferencia bancaria para obtener ganancias, obtener un reembolso o pagar una deuda, ni necesitan su cuenta bancaria o información de tarjeta de crédito. Es posible que reciba un correo electrónico del IRS u otra agencia que le indique que llame a un número gratuito, pero estas interacciones con el gobierno aún se llevan a cabo generalmente por correo de los Estados Unidos.
Si recibe dicha solicitud por correo electrónico, no haga clic en ningún enlace ni proporcione información de identificación. En cambio, informe el intento de phishing de lanza a la FTC.
Pensamientos finales
El comercio móvil lleva la inversión de Wall Street a Main Street. Seguir las sugerencias anteriores significa que puede operar en cualquier momento, desde cualquier lugar, con más tranquilidad y confianza.
El Fuente Original:
https://www.networkcomputing.com/network-security/trading-online-steps-take-avoid-getting-phished
La tecnología es más accesible y asequible que nunca, nivelando el campo de juego en todo, desde la educación hasta el comercio electrónico. Una de las últimas innovaciones es en el campo de las finanzas y la inversión. Un sector de la industria fintech emplea algoritmos de aprendizaje automático que pueden predecir el rendimiento de las existencias y hacer recomendaciones.
El hecho de que muchas de estas aplicaciones pisadas sean móviles pone su futuro financiero directamente en sus propias manos. Sin embargo, también hace que su información sea accesible para otros si no se protege de los ataques de phishing. Desde la perspectiva de un gerente de TI, cualquier empleado que use una aplicación móvil de este tipo en un teléfono que también usa para negocios abre riesgos para la red corporativa.
Particularmente preocupante es el spear phishing dirigido a una persona específica. Según un estudio realizado por Iron Scales, el 77 por ciento de estos intentos se lanzan en 10 o menos bandejas de entrada. La línea de asunto y el mensaje lo mencionan por su nombre e incluyen detalles que han encontrado en las redes sociales o en los perfiles profesionales. A menudo, el mensaje pretende ser de un colega o alguien dentro de su organización. Es posible que quieran que revises un sitio web relacionado con el trabajo o los viajes o que te pidan que transfieras dinero para cubrir una emergencia.
Estos correos electrónicos pueden ser muy sofisticados, a menudo utilizando el logotipo real de la empresa y una URL o dirección de correo electrónico similar. La primera bandera roja debería ondear si no tiene una cuenta con la compañía que supuestamente está enviando el mensaje, pero hay otras señales de una estafa:
· Tu nombre está mal escrito
· El nombre de la empresa o compañero de trabajo es incorrecto o está mal escrito
· El mensaje está mal escrito, usa una gramática incorrecta o parece estar en inglés roto
· Piden información personal o de cuenta y contraseñas; ninguna empresa o agencia gubernamental solicita dicha información.
Según una investigación realizada por un experto en seguridad de IOActive, casi todas las 40 plataformas de negociación investigadas tenían algún tipo de vulnerabilidad que podría convertirlo en un objetivo. Estos incluyen aplicaciones de comercio móvil, aplicaciones de escritorio y sitios web. Los problemas van desde la falta de cifrado débil o débil hasta sesiones que no expiraron o cerraron la sesión del usuario cuando el titular de la cuenta cerró su navegador. Se encontraron problemas con grandes nombres como Schwab o E-Trade y plataformas de inversión independientes más pequeñas como Robinhood y Kraken.
Tanto si es un inversor como si posee una plataforma de inversión, puede protegerse y proteger a los demás diseñando aplicaciones y sitios web teniendo en cuenta la seguridad. Para hacer esto, instale y configure correctamente los firewalls en los enrutadores y otros puntos de acceso. Además, la instalación de una VPN en todas las redes y dispositivos conectados para enmascarar su dirección IP, identidad y actividad, protege su red de vulnerabilidades. Muchos utilizan la autenticación multifactor para controlar también el acceso a la cuenta.
Junto con estos pasos para mantenerse protegido, siempre se recomienda hacer una copia de seguridad de todos los datos y almacenarlos sin conexión. Esto lo protege en caso de que su cuenta se vea comprometida.
Una de las mejores maneras de mantener sus datos seguros es cambiar las contraseñas con frecuencia y usar una contraseña segura diferente para cada cuenta.
Phishing y Spear Phishing en acción
Los piratas informáticos pueden lanzar intentos de phishing a personas o empresas. Es posible que incluso haya experimentado un ataque o intento y no se haya dado cuenta. Estos delincuentes acechan las plataformas financieras e intentan infiltrarse en las aplicaciones con la esperanza de llegar a Paydirt. Es importante entender cómo evitar y evitar que estos ataques ocurran en primer lugar. Estos son algunos ejemplos de ataques de phishing / spear phishing y cómo funcionan en acción.
Intentos de phishing contra empresas
Por lo general, se lanzan intentos de phishing contra individuos o grupos de individuos, pero también ha habido varios ataques de alto valor en contra de las empresas.
En 2008, 19 empleados de la compañía Alcoa fueron atacados por hackers chinos que se hicieron pasar por un miembro de la junta. El objetivo era robar secretos comerciales, y se perpetró a través de un código malicioso insertado en el sistema de correo electrónico de la empresa cuando se abrieron los correos electrónicos. resultó en el robo de 800 archivos adjuntos y casi 3,000 correos electrónicos.
Más recientemente, Ubiquiti Networks, Inc. entregó voluntariamente más de $ 40 millones a alguien que se hace pasar por los ejecutivos de C-Suite. Los correos electrónicos fraudulentos pedían a los destinatarios que transfirieran fondos de su oficina de Hong Kong a cuentas de terceros que los piratas informáticos habían creado.
Estafas dirigidas a individuos
Uno de los tipos más comunes de intentos de phishing para individuos y grupos se dirige a la plataforma de pago muy común, PayPal. Incluso he experimentado esto dos veces, pero tuve la mentalidad de llamar a la compañía directamente cuando el enlace que me enviaron me redirigió a un inicio de sesión de cuenta de Twitter. También puede encontrar uno que tenga un tipo de letra y un logotipo similares a los de su plataforma comercial o banco, haciéndolo parecer oficial.
Los correos electrónicos generalmente se dirigen a los titulares de las cuentas por nombre e indican un problema con un pago. Luego, hay un enlace para discutir el asunto más a fondo, que conduce a una página de inicio de sesión o sitio web falso, como lo que sucedió conmigo. Una vez allí, el hacker registra sus pulsaciones de teclas o inserta el código de seguimiento en su navegador.
Esté atento a los impostores del gobierno
Dado que el objetivo principal de una estafa de phishing es el robo de identidad, ha habido casos de piratas informáticos que roban credenciales y usan esa información para dañar el crédito de la persona o estafar a otros.
Es común que los usuarios confíen automáticamente en una entidad gubernamental, y los malos aprovechan esa realidad. Algo tan simple y seguro como invertir en bonos del gobierno puede dar un giro rápido hacia la ruina cuando considera las numerosas estafas históricas que se han perpetrado y se da cuenta de lo simple que es para un phisher dedicado interponerse entre usted y su dinero. La conclusión es que ninguna actividad transaccional relacionada con el gobierno debe considerarse completamente segura cuando se realiza en línea.
Un método común popular es la estafa "Tienes dinero". También hay una variación que afirma tener la sanción del IRS y amenaza al destinatario con acciones legales sobre una deuda del gobierno. En estas hazañas, el hacker finge ser de una agencia gubernamental. Lo contactarán por correo electrónico con una advertencia sobre problemas de impuestos o lo convencerán de que recibirá un reembolso.
Por lo general, hay un enlace que debe seguir para iniciar sesión en una cuenta, pero esta es solo una forma de obtener su información de inicio de sesión y acceder a sus cuentas. Muchos le piden que transfiera dinero o les proporcione información de la cuenta.
Esto es una mentira. Ninguna agencia gubernamental requiere una transferencia bancaria para obtener ganancias, obtener un reembolso o pagar una deuda, ni necesitan su cuenta bancaria o información de tarjeta de crédito. Es posible que reciba un correo electrónico del IRS u otra agencia que le indique que llame a un número gratuito, pero estas interacciones con el gobierno aún se llevan a cabo generalmente por correo de los Estados Unidos.
Si recibe dicha solicitud por correo electrónico, no haga clic en ningún enlace ni proporcione información de identificación. En cambio, informe el intento de phishing de lanza a la FTC.
Pensamientos finales
El comercio móvil lleva la inversión de Wall Street a Main Street. Seguir las sugerencias anteriores significa que puede operar en cualquier momento, desde cualquier lugar, con más tranquilidad y confianza.
El Fuente Original:
https://www.networkcomputing.com/network-security/trading-online-steps-take-avoid-getting-phished
