Las campañas de correos de suplantación de identidad que ataca a empleados mediante un falso correo del departamento de recursos humanos en el que se solicita una autoevaluación a los trabajadores no dejan de aumentar. ¿Su objetivo?: el robo de información confidencial.
Las grandes empresas piden a sus empleados evaluaciones de desempeño generalmente una vez al año, pero muchos de esos empleados quieren comunicarse más a menudo con la dirección, algo que es utilizado por los ciberdelincuentes.
En cualquier momento del año, los estafadores envían falsos correos en los que se invita a los empleados a participar en una evaluación obligatoria. Los mensajes han sido diseñados de forma convincente y aparentemente provienen del departamento de recursos humanos. Despliegan un formulario de autoevaluación que permite a los trabajadores interactuar con sus superiores, pero hay detalles que levantan sospechas.
Por ejemplo, la dirección de correo electrónico del remitente nunca coincide con la de la empresa y se pide que se rellene el formulario antes del fin de la jornada. Son aspectos propios de este tipo de estafas que deben ponernos alerta.
Las preguntas son, en principio, neutras, inocuas, sin embargo, las tres últimas piden la dirección de correo, la contraseña y la confirmación de la misma. Información muy sensible que se solicita al final del texto con la intención de coger desprevenida a la víctima.
“Los empleados deben tener cuidado al recibir correos electrónicos, especialmente aquellos que parecen provenir del departamento de recursos humanos. Para mantener los datos a salvo es crucial verificar la autenticidad de las solicitudes de autoevaluación no mencionadas por el propio departamento de recursos humanos”, explica Roman Dedenok, experto en seguridad de Kaspersky.
Para estar protegido frente a ataques de phishing y brechas de datos, los expertos de Kaspersky recomiendan:
- Tener cuidado con los mensajes de fuentes desconocidas. Los ataques de phishing a menudo provienen de remitentes extraños. Nunca hacer clic en los enlaces recibidos en esos correos ni facilitar datos personales.
- Usar claves seguras y únicas para cada caso, evitando usar la misma en varias cuentas. Considerar el uso de administradores de contraseñas que gestionan y generan credenciales complejas y seguras.
- Verificar siempre que los enlaces sean legítimos antes de hacer clic sobre ellos. Los ciberdelincuentes generan webs falsas que buscan ser idénticas a los originales. Por ello es importante revisar bien la URL para comprobar si es legítima antes de facilitar cualquier información.
- Activar la autenticación de doble factor siempre que sea posible. Esto añade una capa adicional de seguridad y bloquea los accesos no autorizados.
- Usar un software de seguridad de confianza. Analizar regularmente los dispositivos en búsqueda de amenazas y mantener actualizados los programas de seguridad en todo momento.
Te puede interesar
- Cuidado con las estafas de phishing 3.0: los remitentes del correo electrónico pueden no ser quien dicen ser
- Cómo ejecutar una prueba de phishing con éxito para tus empleados
- Phishing en las empresas: claves para que tus empleados no piquen el anzuelo
- Los emails phishing más difíciles de detectar para los empleados