Imagínese esto: recibe una notificación por mensaje de texto y una llamada de la cooperativa de crédito donde se encuentra el préstamo de su automóvil diciendo que el pago mensual de su préstamo no se ha recibido, pero sabe que lo pagó. Este es un enfoque común de los estafadores para sembrar semillas de duda, en un intento de obtener acceso a información importante de cuenta o pago.
Otro escenario: recibe un correo electrónico de lo que parece ser un proveedor con el que trabaja en su trabajo regularmente. Sin embargo, en realidad es un correo electrónico de un estafador; Hace clic y compromete la red de su empresa.
Lo que hace que estos dos ataques de phishing sean tan peligrosos es que los mensajes parecen tan reales, y puede agradecer a la inteligencia artificial (IA) por eso. El uso de la IA en el fraude está alcanzando un ritmo alto en el último año; Desde finales de 2022, el uso de correos electrónicos de phishing maliciosos ha aumentado un 1,265%. Éste según la firma de ciberseguridad SlashNext, incluye 31,000 ataques de phishing enviados diariamente.
"Estamos viendo que los ciberdelincuentes utilizan una combinación de herramientas para intentar obtener acceso a datos personales y cuentas, incluidos teléfonos, mensajes de texto y correo electrónico, en un esfuerzo por hacer que los consumidores crean que deberían hacer un seguimiento de sus demandas", dijo Jay Bouche, vicepresidente de canal y éxito del cliente de Lumifi, un proveedor de soluciones de ciberseguridad.
"Estos ciberdelincuentes hacen que todo parezca mucho más real de lo que era antes, y eso es posible debido al texto, los correos electrónicos y otras comunicaciones generados por la IA", dijo Bouche. Lo nuevo es el enfoque de múltiples capas y la complejidad. Anteriormente, los estafadores enviaban correos electrónicos que solicitaban a las víctimas que hicieran clic en un archivo adjunto o en un enlace que claramente no iba a donde el correo electrónico afirmaba que lo haría.
"Ahora, los delincuentes están enmascarando las cosas tan bien que en muchas situaciones, las personas son víctimas de intentos de phishing de aspecto muy real", dijo Bouche.
Un aumento en las estafas dirigidas a los consumidores
Paul Tucker, director de seguridad y privacidad de la información de BOK Financial®, dijo que los intentos de suplantación están en aumento, particularmente con respecto a una estafa llamada ingeniería social. Este es el uso del engaño para manipular a las personas para que compartan información confidencial o personal que pueda usarse con fines fraudulentos.
Compromiso de correo electrónico empresarial, o BEC, contribuyó a aproximadamente $ 2.7 mil millones en pérdidas de dólares de víctimas en 2022, y otros $ 52 millones en pérdidas de otros tipos de phishing, según el Informe de delitos en Internet del FBI.
"Gran parte de este aumento se puede atribuir al aumento de herramientas como ChatGPT que permiten a los delincuentes escribir rápidamente mensajes convincentes para apuntar a individuos y empresas", dijo Tucker.
Los consumidores también están siendo víctimas de:
- Estafas con imágenes. "Estamos empezando a ver más amenazas alrededor Redes neuronales integrales, que es la tecnología que impulsa las imágenes realistas que estamos viendo desde estas plataformas", dijo Tucker. Los estafadores ahora pueden replicar mejor documentos como las licencias de conducir, por lo que es tan importante proteger la información personal.
- Spear phishing. Este tipo de ataque involucra correos electrónicos que son altamente personalizados para el individuo, lo que hace que parezca que proviene de uno de sus proveedores o proveedores.
- Robo de credenciales. La adivinación de contraseñas ha ido en aumento, dijo Tucker. Ahí es cuando los estafadores tienen suficiente información sobre usted que pueden usar AI para descifrar sus contraseñas. "Vamos a seguir viendo que estos ataques se vuelven más relevantes y se usan con más frecuencia a medida que los estafadores usan cada vez más la IA", dijo.
"La conclusión es: si no espera un mensaje específico de alguien, debe tomarse su tiempo y verificar que sea válido", dijo Bouche.
"Ya no recibimos correos electrónicos de 'príncipe en Nigeria'; Estamos recibiendo correos electrónicos que parecen cosas que usamos para apoyar nuestra vida diaria".- Jay Bouche, vicepresidente de canal y éxito del cliente de Lumifi
La IA como arma de doble filo
"Vemos la IA como un martillo", dijo Tucker. "Un martillo puede construir, pero también puede destruir".
Tucker explicó que a medida que las herramientas generativas de IA se vuelven más sofisticadas, también lo harán los ataques. IA generativa es un término utilizado para describir cómo los usuarios pueden generar rápidamente contenido nuevo (texto, imágenes, etc.) basado en una variedad de entradas en programas como ChatGPT. Esto puede ser extremadamente útil. Sin embargo, los ciberdelincuentes ahora pueden imitar el estilo de un jefe o supervisor a un empleado, tal vez aludiendo a un evento específico para hacer que la solicitud parezca legítima. Los delincuentes también podrían usar la IA para Generar llamadas que copien la voz de alguien en un esfuerzo por obtener más información personal.
Si bien la tecnología generativa de IA como ChatGPT ha sido un cambio de juego para los "malos actores", Tucker dijo que también ha sido una herramienta para que los equipos de ciberseguridad identifiquen nuevos vectores de amenaza y cómo estos delincuentes ingresan a los sistemas para obtener acceso a datos confidenciales. La tecnología impulsada por IA se está utilizando para buscar anomalías en los correos electrónicos entrantes a escala, ayudando a los equipos de ciberseguridad a identificar amenazas y aprender patrones en el comportamiento delictivo.
"Cuanto más entiendan las personas lo que es posible que haga la IA y cómo funciona, más educados estarán sobre el uso de la herramienta y sobre cómo se puede usar para establecer protecciones".- Paul Tucker, director de seguridad y privacidad de la información en BOK Financial
Cómo pueden protegerse los consumidores y las empresas
Cuando se trata de estafas, existe la idea errónea de que las generaciones mayores son víctimas mucho más. Pero estudios recientes muestran que en realidad es la Generación Z (aquellos nacidos a finales de los 1990 y principios de los 2010) los que tienen más probabilidades de sucumbir a estas estafas. De hecho, los estadounidenses de la Generación Z son tres veces más probabilidades para quedar atrapado en una estafa en línea que los Baby Boomers, según Deloitte.
Una cosa que abarca generaciones son las herramientas y el conocimiento necesarios para protegerse a usted y a su empresa de las estafas. Para las empresas, Bouche recomienda invertir en protecciones básicas, como una herramienta de detección y respuesta de endpoints (EDR) y un software de protección de correo electrónico que pueda detectar mejor posibles casos de phishing y estafas.
"Pero el componente más importante de la protección es el elemento humano", dijo Bouche. Aproximadamente el 91% de los ataques cibernéticos comienzan con un ataque de phishing, que es un número asombroso para las empresas. según Deloitte. Una forma de ayudar a aumentar las protecciones es centrarse en protocolos de capacitación sólidos que establezcan conciencia de seguridad en toda la organización.
"Tener una buena higiene en torno a la información personal que comparte en Internet es una forma de tomar el control sobre su propia protección y la vulnerabilidad de su empresa", dijo Tucker.
Prácticas recomendadas
Aquí hay siete maneras en que puede protegerse y proteger a su empresa de ser víctima:
- Verificar, verificar, verificar. Si recibe un correo electrónico de alguien o lo que parece ser una empresa, haga todo lo posible para verificar la validez del correo electrónico. Esto incluye ir al sitio web real del proveedor, llamar directamente y asegurarse de que el mensaje sea legítimo.
- Ten cuidado a quién dejas entrar. Al hacer conexiones sociales, asegúrate de que solo te conectas con personas que conoces. Elimine la información personal para garantizar que los delincuentes no puedan crear expedientes sobre su vida.
- Consulte los detalles. Bouche recomienda pasar el cursor sobre los enlaces para ver a dónde lo llevará hacer clic para ayudar a verificar si un correo electrónico es legítimo.
- Sea exigente al recibir correos electrónicos inesperados. Tucker sugiere errar por el lado de la precaución al abrir e interactuar con los correos electrónicos entrantes. "Ten una buena comprensión de dónde viene. Si dice 'Soporte de Apple', pero no es una dirección de correo electrónico familiar, entonces eso es una señal de alerta", dijo.
- Evite descargar software u otras herramientas cuando se le indique.
- Realice un seguimiento de sus suscripciones. Es difícil alejarse de los correos electrónicos de las marcas que ofrecen descuentos, pero Bouche dijo que es fundamental realizar un seguimiento de sus suscripciones para que sepa qué es legítimo en su bandeja de entrada de correo electrónico.
- Confía en tus instintos. "Si algo no se siente bien, confía en ese instinto", sugiere Tucker.
"Este problema no va a desaparecer; todo se reduce a que los usuarios y consumidores estén tan educados como sea humanamente posible en cuanto a cómo se ven esas amenazas porque se verán cada vez más reales", dijo Bouche.
. © 2024 BOKF, NA.