El presente es un artículo de opinión personal sobre el uso de Benchmarking en Security Awareness. En los más de 7 años que llevo trabajando en SMARTFENSE me encontré muchas veces con preguntas del tipo: ¿qué porcentaje de usuarios caen en las trampas de Phishing de los clientes de SMARTFENSE? Y el objetivo es siempre […]
Si pensamos en estafas que provocan grandes pérdidas de dinero, lo primero que se nos ocurre son los ataques del tipo BEC. De hecho, en el Internet Crime Report del FBI del año 2021 estos ataques se quedaban una vez más con el primer puesto: Ahora bien, en el último reporte donde se analiza el año 2022 nos llevamos […]
Diferentes, pero no tanto Para empezar, debemos aclarar que los ataques BEC (Business Email Compromise, por sus siglas en inglés) y los ataques EAC (Email Account Compromise) tienen igual objetivo: Ganar dinero o robar información confidencial. Tanto uno como otro se basan en ingeniería social, aprovechando que es mucho más sencillo engañar a una persona desinformada que […]
Un buen día para un ataque BEC Hoy, como todos los días, era un buen día para lanzar un ataque de Phishing. Podría ser masivo, pero por motivos económicos, opté por un ataque del tipo BEC dirigido a la compañía Hábitos Inseguros S.A. Cosechando potenciales víctimas Lo primero que necesité para realizar mi ataque fue conseguir el correo […]
Recientemente decidí probar la herramienta Fraude del CEO en un dominio propio. Confiado de que mi proveedor contaba con todas las medidas de seguridad, ejecuté la prueba sin más. El resultado dio positivo, lo cual, en principio, significó que un atacante podría haber enviado un correo en nombre de cualquier persona a otra persona dentro de la organización. […]
Si nuestro servidor de correo electrónico no se encuentra configurado correctamente, es posible que un ciberdelincuente se conecte al mismo y envíe emails dentro del dominio de nuestra organización utilizando como emisor y receptor cualquier dirección de correo electrónico que exista dentro de dicho dominio. Todo esto sin necesidad de autenticarse mediante el uso de credenciales. De esta […]
El concepto BEC, también conocido como “ El Fraude del CEO”, proviene de Business Email Compromise. Este engaño consiste en la utilización del email como medio, donde el ciberdelincuente se hace pasar por una persona de jerarquía dentro de nuestra organización, explotando su posición de influencia y la confianza de los demás. Así, un criminal impersonando al CEO […]