El robo de información se puede dar en cualquier sitio, incluso dentro de las empresas, según un nuevo reporte de la agencia de seguridad cibernética Kaspersky, que reveló como el pshishing ataca a empleados con un correo que los invita a hacer una evaluación de desempeño.
El ataque es doble: los recipientes piensan que la valoración es (a) obligatoria; y (b) que puede producir un aumento de sueldo . Kaspersky
El informe además destaca que en algunas empresas estas evaluaciones son parte de la rutina del proceso de revisión salarial; de ahí que no despierten sospechas.
¿Cómo ocurre el ataque?
Todo comienza con un correo electrónico.
- Un empleado recibe un mensaje que dice provenir de Recursos Humanos y que recomienda realizar una evaluación de desempeño.
- El texto del mensaje contiene un enlace a un sitio web externo con un formulario de evaluación .
- Una vez en este sitio, se le pide a la víctima que ingrese su nombre de usuario, contraseña y dirección de correo electrónico.
- Cuando el empleado hace clic en el botón iniciar sesión o ir a la evaluación , sus datos son enviados a los cibercriminales.
- En este punto, es probable que evaluación termine abruptamente.
Consecuencias del robo de información corporativa
De acuerdo con Kaspersky, al obtener las credenciales de un empleado, el cibercriminal podía llevar a cabo diferentes delitos; por ejemplo, podría enviar a nombre de la víctima mensajes de correo electrónico dirigidos contra otros empleados, socios y clientes de la empresa.
El atacante también podría ganar acceso a la correspondencia o los documentos confidenciales internos . Kaspersky
Los especialistas consideran que esto incrementa las posibilidades de un ataque exitoso, ya que los mensajes que parecen provenir de la víctima no solamente evadan los filtros de spam, sino que produzcan en los destinatarios una falsa sensación de seguridad.
La información robada también podría utilizarse para lanzar varios tipos de ataques dirigidos a nombre de la propia empresa, lo que incluye la vulneración de los correos electrónicos corporativos . Kaspersky
- Para defenderse de los ataques de phishing los expertos recomiendan que los empleados se encuentren familiarizados con los procesos de ciberseguridad de la empresa.