Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Falsas declaraciones de 401K para robar credenciales

Escrito por Adriana Aguilar | Jan 16, 2024 4:30:00 PM

Los ciberdelincuentes están constantemente buscando nuevas formas de engañar a los usuarios y robar información valiosa. Una táctica emergente involucra el uso de falsas declaraciones de 401(k) para engañar a empleados de empresas y robar sus credenciales corporativas.

 

El Auge de los Ataques de Phishing con Declaraciones de 401(k) Falsas

 

Los ciberatacantes están explotando temas como cuentas de pensiones personales (planes 401(k) en EE. UU.), ajustes salariales e informes de rendimiento laboral para sustraer credenciales de empleados corporativos.

Según la firma especializada en seguridad de correo electrónico Cofense, estos ataques están en aumento. Incluso organizaciones con sólidas prácticas de seguridad de correo electrónico están luchando para contrarrestarlos.

 

Te podrá interesar leer:  Protegiendo tu Empresa de los Ataques de Phishing por Emails

 

Alertas Engañosas de 401k

 

Correo electrónico de phishing con temática 401k

 

El 401(k), un plan de ahorro para la jubilación ampliamente utilizado en EE. UU., ofrece a los empleados una forma efectiva de ahorrar para el futuro con ventajas fiscales, incluyendo a menudo contribuciones patronales.

Los hackers se valen de este aspecto, enviando falsas notificaciones de 401(k) a sus blancos. Estas comunicaciones, aparentemente provenientes del departamento de Recursos Humanos, informan sobre actualizaciones importantes del plan o incrementos en las contribuciones.

Cofense reporta un marcado incremento, en el último año, en el uso de códigos QR en estos correos de phishing. Estos códigos dirigen a los destinatarios a sitios de inicio de sesión fraudulentos, diseñados para robar sus credenciales.

Otros engaños comunes que aumentan hacia fin de año incluyen la inscripción abierta, encuestas y anuncios sobre reajustes salariales.

 

 

La inscripción abierta, un período usualmente al final del año, es cuando los empleados eligen seguros de salud o planes de jubilación. Estos mensajes son cruciales ya que perder la fecha límite implica no poder acceder a ciertos beneficios hasta la próxima inscripción.

Los ciberdelincuentes están empleando cada vez más engaños vinculados a cambios en la remuneración, como bonificaciones y aumentos salariales, que suelen determinarse a finales de año. Cofense también alerta sobre el uso de encuestas falsas de satisfacción laboral y evaluaciones de desempeño fraudulentas enviadas desde departamentos de recursos humanos ficticios.

En un caso, un correo de phishing con el asunto "premio al empleado del año" intenta engañar a los destinatarios para que abran y firmen supuestos informes de rendimiento.

 

 

Protegiéndote de los Ataques de Phishing

 

Aquí hay algunas medidas que puedes tomar para protegerte:

  1. Verifica las Fuentes: Antes de hacer clic en enlaces o descargar archivos, verifica la autenticidad del email.
  2. Educación y Conciencia: Mantente informado sobre las tácticas de phishing y educa a tus colegas.
  3. Uso de Herramientas de Seguridad: Instala software antivirus y herramientas de filtrado de correo electrónico.
  4. Autenticación de Dos Factores (2FA): Usa 2FA para añadir una capa adicional de seguridad a tus cuentas.

 

También te podrá interesar:  Takedown: La Defensa crucial contra el Phishing

 

¿Qué Hacer Si Eres Víctima de Phishing?

 

Si crees que has sido víctima de un ataque de phishing:

  1. Cambia tus Contraseñas: Cambia inmediatamente todas tus contraseñas, especialmente si has usado las mismas credenciales en múltiples sitios.
  2. Contacta a tu Departamento de TI: Informa el incidente para que puedan tomar medidas.
  3. Monitoriza tus Cuentas: Estate atento a cualquier actividad sospechosa en tus cuentas financieras y reporta cualquier irregularidad.

 

Podría interesarte:  Concientización: Esencial en la Ciberseguridad de tu Empresa

 

Conclusión

 

Los ataques de phishing utilizando falsas declaraciones de 401(k) son un recordatorio de que los ciberdelincuentes están en constante evolución en sus métodos. Es crucial estar siempre alerta, verificar las fuentes y educarse sobre las últimas tácticas de phishing. Al tomar medidas proactivas y estar informado, puedes proteger tus datos personales y los de tu empresa de estos sofisticados ataques cibernéticos.