Cuando Bob recibió un correo electrónico de su nueva empresa, estaba ansioso por impresionar.
Solo un par de días después de su nuevo trabajo, recibió un correo electrónico que parecía provenir del jefe de recursos humanos, pidiéndole que accediera a información importante de incorporación a través de un enlace usando sus credenciales de inicio de sesión de empleado.
Bob no se da cuenta de que está ingresando sus credenciales en una página de phishing, y el ciberdelincuente recolecta estas credenciales y las usa para el fraude de apropiación de cuentas. Solo dos días después, Bob ya fue víctima de un ataque y puso en riesgo su nueva empresa.
Este es solo un ejemplo de lo fácil que es para los principiantes ser presa de los ciberdelincuentes.
Un nuevo año a menudo también marca nuevos comienzos para los empleados, con muchos nuevos empleados que comienzan en una nueva empresa. Este es un momento emocionante tanto para los empleados como para los empleadores, pero también trae consigo importantes amenazas cibernéticas que deben ser gestionadas de manera efectiva por todos los involucrados.
Cómo funcionan las nuevas estafas de principiante
Estas amenazas de seguridad cibernética y los nuevos tipos de estafas pueden convertir un nuevo trabajo soñado en una pesadilla en cuestión de minutos.
Las estafas de nuevos principiantes consisten en dirigirse a los nuevos empleados de una empresa con correos electrónicos falsificados y personalizados que parecen provenir de otra persona dentro de la empresa, generalmente un gerente de alto nivel o alguien de recursos humanos.
Luego, se le pedirá al nuevo empleado que haga algo, como ingresar los datos personales de inicio de sesión en una página de phishing, aparecer en el sitio web de la empresa o comprar algo aparentemente para la empresa.
Si se trata de información personal, estas credenciales se pueden recopilar y utilizar para el fraude de apropiación de cuentas y potencialmente dar acceso al pirata informático a las redes de toda la empresa.
Esta forma de ataque cibernético de ingeniería social es particularmente efectiva ya que se dirige a una empresa donde son más vulnerables: las nuevas contrataciones. Estas personas a menudo no están familiarizadas con el funcionamiento de la empresa y lo que se les pedirá y lo que no, y están ansiosos por complacer y completar las tareas rápidamente. Los ciberdelincuentes también atacan rápidamente, por lo que es posible que el nuevo empleador no haya tenido la oportunidad de brindar capacitación cibernética.
La pandemia también ha acelerado la adopción de incorporaciones remotas y el comienzo de un trabajo completamente digital utilizando una combinación de una empresa en línea y herramientas de colaboración, lo que aumenta aún más el nivel de amenaza. Como descubrieron los académicos de la Universidad Tecnológica de Queensland, los patrones de trabajo anteriores de Covid han creado un “ambiente propicio para que los delincuentes apunten a las víctimas potenciales de manera efectiva”.
Los actores en línea maliciosos a menudo monitorean LinkedIn y otros sitios de redes sociales para encontrar personas que acaban de comenzar en una nueva empresa, para apuntar como parte de este tipo de ataques.
Según Scamwatch de la ACCC, los australianos perdieron más de $8,7 millones como parte de estas estafas y otros ataques basados en el reclutamiento el año pasado, con informes de más de 3000 de estas estafas.
Cómo los nuevos emprendedores y las empresas pueden mitigar el riesgo
Para los nuevos empleados, las primeras semanas en un trabajo deben estar marcadas con un nivel extremadamente alto de precaución y desconfianza ante cualquier contacto extraño o sospechoso, especialmente los mensajes que solicitan datos de inicio de sesión, números de teléfono o pagos. Deben tener especial cuidado con cualquier transacción que se base en tarjetas de regalo o criptomonedas.
Los nuevos empleados, o cualquier empleado, nunca deben hacer clic en ningún enlace sospechoso en estos correos electrónicos o archivos adjuntos y deben leer detenidamente la dirección de correo electrónico y la dirección web que se les envió para asegurarse de que sea legítimo.
Los piratas informáticos a menudo encuentran la información necesaria para estas estafas en plataformas de redes sociales como LinkedIn, por lo que es importante hacer que estas plataformas sean lo más privadas posible para privar a estos grupos de información y no aceptar solicitudes de conexión sospechosas.
Las empresas tienen un papel crucial que desempeñar para garantizar que sus nuevos empleados no sean víctimas de estas estafas.
Se debe brindar educación y capacitación de concientización a los nuevos principiantes desde el principio, con lecciones sobre cómo se pueden abordar. Los nuevos empleados también deben estar facultados para cuestionar cualquier cosa que vean y ponerse en contacto con sus superiores para señalar sus preocupaciones sobre cualquier cosa, por pequeña que sea. Esta conciencia debe ser una parte importante de cualquier proceso de incorporación, especialmente si se lleva a cabo de forma remota.
Las empresas australianas también deben tener políticas claras de redes sociales y dispositivos para ayudar a mitigar los riesgos de estas estafas y compartir ampliamente las noticias sobre las tendencias recientes en estos ataques.
La higiene básica de la ciberseguridad, como firewalls, segmentación de datos y marcos de confianza cero, también debe emplearse para ayudar con estos riesgos.
Una empresa es tan cibersegura como su eslabón más débil y, desafortunadamente, este eslabón débil suele ser un nuevo empleado. Pero hay muchos pasos simples y rentables que todos los involucrados pueden tomar para mitigar estos riesgos y garantizar que un nuevo trabajo sea tan emocionante como debería ser y no conduzca a una pesadilla cibernética.
Manténgase al día con nuestras historias en LinkedIn, .Facebook e Instagram.