A través de una declaración para Brian Kerbs de krebsonsecurity, Eric DeRitis, vocero de Seagate, confirmó que la compañía fabricante de dispositivos de almacenamiento Seagate fue blanco de un ataque de phishing que le permitió a los atacantes robar información fiscal de los empleados. El ataque se dio en la forma de una estafa de phishing: un empleado de Seagate recibió lo que parecía ser un correo electrónico del CEO de la compañía, Stephen Luczo, en el cual se solicitaban los datos contenidos en la forma 2015 W-2 de los empleados actuales y anteriores de Seagate. La solicitud parecía ser legítima, por lo que se logró robar los datos personales de varios miles de empleados.
Seagate es la víctima más reciente de un ataque de phishing de alto impacto. Hace menos de una semana, los empleados de la aplicación de mensajería para compartir fotos y videos Snapchat también fueron víctima de una estafa similar. Hace tres días, Mansueto Ventures, la empresa editorial de las revistas Inc. y Fast Company, también fue atacado usando el mismo esquema, lo que provocó que quedara expuesta la información de los empleados, la cual contenía salarios y números de seguridad social.
En Estados Unidos y otros países inició la temporada para hacer las declaraciones de impuestos, y es típico que los criminales utilicen estos esquemas para victimizar no sólo a las personas, sino también a las organizaciones. De acuerdo con Krebs, los datos de la forma W-2, que fueron robados en el incidente de Seagate, contienen virtualmente toda la información que se necesita para realizar un fraude con la devolución de impuestos. Tan solo el año pasado, la información de la W-2 de más de 300,000 víctimas fue robada con éxito del sitio del Servicio de Recaudación Interna (IRS) de Estados Unidos.
Con estos ataques de phishing, junto con la frecuencia de los fraudes para comprometer el correo electrónico empresarial (BEC), las compañías deben estar más conscientes de la seguridad, y verla como una medida de prevención y no como una cura (por ejemplo, después de que ha sucedido un incidente de seguridad).
La empresa de almacenamiento ya ha informado a los empleados afectados sobre el incidente y que ha contratado los servicios de una compañía de monitoreo de crédito. Sin embargo, el mayor problema persiste y este ataque seguirá sorprendiendo a empleados y personas fuera de guardia.
Debe forjarse una mentalidad de seguridad más robusta, y debe fortalecerse el conocimiento suficiente de las estrategias de energía social utilizadas, y sus repercusiones para las personas y las compañías. Los empleados deben conocer las prácticas y las medidas que involucran a las varias tácticas de ataque utilizadas para estafar a los individuos o, en este caso, a ellos como empleados. Los esquemas de BEC, como se han visto en los recientes casos, siguen plagando a las compañías con técnicas antiguas que convierten a los empleados en cómplices fáciles. Dicho lo anterior, debe intensificarse un diálogo con la fuerza laboral para verificar los mensajes de correo electrónico que reciban y sus fuentes.
Leave a Reply