Puede perder mucho en una estafa de phishing. Estos ataques muestran cuánto.
Los ataques de phishing se han disparado, y los atacantes aprovechan las últimas vulnerabilidades y oportunidades en el cambio masivo hacia el trabajo remoto y el almacenamiento en la nube.
El phishing es una estafa en la que los atacantes envían a las personas correos electrónicos, mensajes o llamadas telefónicas maliciosos para engañarlos para que hagan clic en enlaces o archivos adjuntos dañinos, visitar sitios web fraudulentos, compartir datos confidenciales o hacerlos susceptibles a Ataques ciberneticos.
Ser presa de los ataques de phishing ahora conduce regularmente a pérdidas financieras sustanciales para individuos y corporaciones. Estos son algunos de los ataques de phishing más dañinos económicamente de la historia.
1. facebook y google
Entre 2013 y 2015, Facebook y Google fueron víctimas de una estafa de facturas falsas, perdiendo más de 100 millones de dólares. En la estafa, Evaldas Rimasauskas, un pirata informático lituano, creó una empresa falsa que se hizo pasar por Quanta Computer, un fabricante de computadoras con sede en Taiwán que trabaja con Facebook y Google.
El agresor abrió además cuentas bancarias para lavar dinero en varios países, incluidos Chipre y Letonia, con el mismo nombre que la empresa falsa.
Evaldas procedió a enviar facturas a los empleados de Facebook y Google, lo que los llevó a transferirle los fondos solicitados. Sin embargo, finalmente fue arrestado, acusado formalmente de fraude electrónico y obligado a confiscar 49,7 millones de dólares.
2. Imágenes de sony
Sony fue víctima de un ataque de spear-phishing (uno de muchos tipos diferentes de ataques de phishing) que impidió que la compañía lanzara una película de comedia en todo el mundo. El ataque estuvo relacionado con “Guardianes de la Paz”, el grupo de hackers que filtró grandes cantidades de datos confidenciales sobre los empleados de la empresa y su cartera de películas en 2014.
Para ejecutar el ataque, los ciberdelincuentes enviaron correos electrónicos a los empleados de Sony, incluido el CEO Michael Lynton, instándolos a verificar su ID de Apple debido. a "comportamiento sospechoso de la cuenta". Los mensajes de correo electrónico también incluían enlaces a sitios de phishing creados para robar el inicio de sesión de los empleados. cartas credenciales.
Meses después, los piratas informáticos violaron el System Center Configuration Manager (SCCM) de Microsoft de la empresa. Esto les permitió instalar malware en todos los dispositivos de los empleados, robar terabytes de datos privados y eliminar las copias originales de las computadoras de Sony.
Los ciberdelincuentes filtraron cuatro películas inéditas y numeroso material confidencial, incluso privado comunicaciones entre ejecutivos, números de seguridad social y salarios de los empleados, a través de intercambio de archivos redes Para avanzar en su agenda, el grupo hacktivista exigió que Sony cancelara el lanzamiento planeado de “The Interview”, una película de comedia.
A pesar de que Sony no publicó una estimación de costos oficial, las primeras evaluaciones del alcance de los daños corporativos indican pérdidas que superan los 100 millones.
3. Banco Crelán
En 2016, el banco Crelan, con sede en Bélgica, fue objetivo de una estafa de Business Email Compromise (BEC), resultando en una pérdida de $75.8 millones. El perpetrador, haciéndose pasar por el director ejecutivo del banco, solicitó al departamento de finanzas que aprobara la transferencia del monto, lo cual hicieron.
El ataque se descubrió durante una auditoría interna y se informó al departamento de justicia, pero los agresores nunca fueron identificados. En respuesta, el banco adoptó medidas estrictas para reforzar sus procedimientos de seguridad interna.
4. FAC
Fischer Advanced Composite Components (FACC) es una empresa con sede en Austria que se especializa en la fabricación de piezas aeroespaciales. Su base de clientes incluye líderes de la industria como Boeing, Airbus y Rolls-Royce.
2015/16 marcó un año comercial fatídico para la empresa, ya que fue víctima de una estafa de BEC, perdiendo aproximadamente $ 55 millones. El incidente se desarrolló cuando un perpetrador, haciéndose pasar por el director general de la empresa en un correo electrónico, solicitó al departamento de contabilidad que transfiriera los fondos a un banco extranjero como parte de un “proyecto de adquisición”.
Al darse cuenta de que fueron estafados, la FACC implementó contramedidas que llevaron al bloqueo de la transferencia de $12 millones. A pesar de esto, el director general de la empresa, Walter Stephan, y el director financiero fueron despedidos tras el incidente. La firma también presentó una demanda en su contra, citando su falta de implementación de controles y supervisión de seguridad.
5. Laboratorios Upsher-Smith
Upsher-Smith Laboratories, una compañía farmacéutica en Minnesota, es otra víctima de alto perfil de un ataque de fraude de un director ejecutivo. La empresa sucumbió a la estafa en 2014 cuando los estafadores que se hacían pasar por el director ejecutivo de la empresa enviaron un correo electrónico al coordinador de cuentas por pagar de la empresa.
Esta estafa condujo a nueve transferencias electrónicas en tres semanas, lo que resultó en una pérdida de más de 50 millones. Sin embargo, la empresa detectó el ataque en curso y revocó con éxito una transferencia bancaria, lo que redujo la pérdida a 39 millones de dólares.
6. Redes Ubiquiti
En 2015, Ubiquiti Networks, un fabricante de tecnología de redes con sede en San José, perdió $46,7 millones debido al fraude del director ejecutivo. En este caso, el atacante se hizo pasar por el director ejecutivo y el abogado de la empresa e informó al departamento de finanzas que se necesitaban fondos para facilitar una adquisición confidencial.
Utilizando correos electrónicos de phishing selectivo, el perpetrador convenció al departamento de finanzas de la empresa para que transfiriera fondos de la subsidiaria de la empresa en Hong Kong a las cuentas en el extranjero del atacante.
Luego, Ubiquiti realizó 14 transferencias electrónicas en 17 días a varios países, incluidos China, Rusia, Hungría y Polonia. Al descubrir el fraude, la empresa inició acciones legales en varias jurisdicciones extranjeras, recuperando $8,1 millones.
7. Leoni AG
Leoni AG, un fabricante líder de alambres y cables con sede en Alemania, sufrió una pérdida de alrededor de $44 millones después de un ataque de correo electrónico de phishing. El incidente de 2016 involucró a estafadores que, haciéndose pasar por altos ejecutivos alemanes de la empresa, engañaron a un empleado de finanzas en la oficina de Rumania de la empresa para transferir los fondos a cuentas extranjeras.
8. Corporación Toyota Boshoku
En 2019, Toyota Boshoku Corporation, una subsidiaria europea del Grupo Toyota y proveedor líder de autopartes de Toyota, fue blanco de un ataque BEC. El incidente involucró a un atacante que se hizo pasar por socio comercial de la subsidiaria y solicitó una transferencia de fondos inmediata a una cuenta bancaria desconocida.
El perpetrador justificó la urgencia de la transacción afirmando que cualquier retraso dificultaría la producción de piezas. Esto llevó al departamento de finanzas y contabilidad de la corporación a perder más de $37 millones.
9. Corporación Xoom
Una estafa de phishing dirigida a Xoom Corporation, un proveedor líder de servicios de transferencia electrónica de fondos, resultó en una pérdida de $30,8 millones. El informe del cuarto trimestre de 2014 de la compañía citó a BEC como la causa de la pérdida.
El ataque involucró a estafadores que se hicieron pasar por empleados de Xoom y le pidieron al departamento de finanzas que depositara los fondos en cuentas fraudulentas en el extranjero. Luego del incidente, el director financiero (CFO) de Xoom, Matt Hibbard, renunció.
Protéjase usted y a su empresa de los ataques de phishing
A pesar de que las grandes empresas son los principales objetivos, las estafas de phishing que afectan a millones de usuarios individuales son demasiado comunes. Estos ataques no solo provocan pérdidas monetarias directas, sino también pérdidas de productividad y datos, daños a la reputación y pérdida de clientes.
Los costos de los ataques de phishing ya están cambiando la forma en que las personas y las empresas operan y administran los riesgos. Para defenderse de los ataques de phishing, es crucial adoptar medidas de protección, incluido el uso de fuertes contraseñas, implementando autenticación de dos factores y brindando capacitación en conciencia de seguridad para empleados.