Los ciberdelincuentes están constantemente buscando nuevas formas de engañar a los usuarios y robar información valiosa. Una táctica emergente involucra el uso de falsas declaraciones de 401(k) para engañar a empleados de empresas y robar sus credenciales corporativas.
Los ciberatacantes están explotando temas como cuentas de pensiones personales (planes 401(k) en EE. UU.), ajustes salariales e informes de rendimiento laboral para sustraer credenciales de empleados corporativos.
Según la firma especializada en seguridad de correo electrónico Cofense, estos ataques están en aumento. Incluso organizaciones con sólidas prácticas de seguridad de correo electrónico están luchando para contrarrestarlos.
Te podrá interesar leer: Protegiendo tu Empresa de los Ataques de Phishing por Emails
Correo electrónico de phishing con temática 401k
El 401(k), un plan de ahorro para la jubilación ampliamente utilizado en EE. UU., ofrece a los empleados una forma efectiva de ahorrar para el futuro con ventajas fiscales, incluyendo a menudo contribuciones patronales.
Los hackers se valen de este aspecto, enviando falsas notificaciones de 401(k) a sus blancos. Estas comunicaciones, aparentemente provenientes del departamento de Recursos Humanos, informan sobre actualizaciones importantes del plan o incrementos en las contribuciones.
Cofense reporta un marcado incremento, en el último año, en el uso de códigos QR en estos correos de phishing. Estos códigos dirigen a los destinatarios a sitios de inicio de sesión fraudulentos, diseñados para robar sus credenciales.
Otros engaños comunes que aumentan hacia fin de año incluyen la inscripción abierta, encuestas y anuncios sobre reajustes salariales.
La inscripción abierta, un período usualmente al final del año, es cuando los empleados eligen seguros de salud o planes de jubilación. Estos mensajes son cruciales ya que perder la fecha límite implica no poder acceder a ciertos beneficios hasta la próxima inscripción.
Los ciberdelincuentes están empleando cada vez más engaños vinculados a cambios en la remuneración, como bonificaciones y aumentos salariales, que suelen determinarse a finales de año. Cofense también alerta sobre el uso de encuestas falsas de satisfacción laboral y evaluaciones de desempeño fraudulentas enviadas desde departamentos de recursos humanos ficticios.
En un caso, un correo de phishing con el asunto "premio al empleado del año" intenta engañar a los destinatarios para que abran y firmen supuestos informes de rendimiento.
Aquí hay algunas medidas que puedes tomar para protegerte:
También te podrá interesar: Takedown: La Defensa crucial contra el Phishing
Si crees que has sido víctima de un ataque de phishing:
Podría interesarte: Concientización: Esencial en la Ciberseguridad de tu Empresa
Los ataques de phishing utilizando falsas declaraciones de 401(k) son un recordatorio de que los ciberdelincuentes están en constante evolución en sus métodos. Es crucial estar siempre alerta, verificar las fuentes y educarse sobre las últimas tácticas de phishing. Al tomar medidas proactivas y estar informado, puedes proteger tus datos personales y los de tu empresa de estos sofisticados ataques cibernéticos.