¿Qué hace que la protección anti-phishing y de marca de una institución financiera sea efectiva? Aquí algunos consejos que pueden ayudar a entender la cuestión.
Easy Solutions entregó un completo análisis de cuáles son las variables que deberán tener en cuenta bancos e instituciones financieras para hacer que sus estrategias anti-phishing sean realmente efectivas.
Al respecto, Daniel Brody, gerente de Marketing de Productos de Easy Solutions comentó que “los portales web seguros y las campañas de concientización pueden proteger a los empleados de un banco contra ataques de phishing, pero estas medidas de seguridad no evitarán que los clientes y socios fuera del perímetro de la compañía involuntariamente entreguen información sensitiva a algún hacker que imite su institución“.
Estos ataques no sólo ponen en riesgo a la gente que confía en su nombre, sino también afectan la reputación de su entidad. Cuando los clientes caen víctimas de ataques de phishing que aprovechan el nombre de su institución, recuperar su confianza se convierte en una tarea casi imposible.
Las verdaderas estrategias anti-phishing no dependen de soluciones todo en uno y se extienden más allá de los límites de la institución financiera. De acuerdo a Gartner: “Un completo y efectivo programa anti-phishing extiende la protección más allá del perímetro para detectar y erradicar campañas de phishing que buscan abusar de marcas y nombres en ataques contra clientes y público en general“.
Recomendaciones clave de los expertos anti-fraude de Easy Solutions
Monitoreo de nombres de dominios y redes sociales
Entre más legítimo parezca un mensaje de phishing, mayores serán las probabilidades de que engañe a sus clientes. Con el propósito de verse genuinos, los mensajes fraudulentos emplean nombres de dominio y de redes sociales que se asemejan bastante a los utilizados por su institución. Irónicamente, la gran similitud de estos mensajes con los comunicados reales es lo que los hace poderosos para atrapar usuarios. Las instituciones financieras deben vigilar de cerca los registros de nuevos dominios y perfiles en redes sociales para detectar actividad de phishing antes de que sus clientes se vean afectados.
Monitoree campañas de phishing externas
El monitoreo de registros de dominios y de perfiles en redes sociales ayuda a reducir significativamente el volumen de ataques, aunque de ninguna forma es una cura mágica que detenga todo el phishing. Las instituciones financieras deben realizar un monitoreo externo de posibles amenazas y brechas para detectar y mitigar incidentes tan rápido como sea posible. Nuestra filosofía se basa en la idea de que el fraude debe ser identificado y detenido sin importar en qué etapa de su ciclo de vida se encuentre, no sólo cuando cuando se intenta hacer una transacción para robar dinero.
Combata la falsificación de emails
Las instituciones financieras pueden detener la falsificación de emails a través de la implementación del estándar DMARC (Domain-based Message Authentication, Reporting and Conformance). Este estándar, el cual ya ha sido implementado por los más grandes proveedores de email del planeta como Google, Office365, Hotmail y Yahoo, asegura que aquellos mensajes que fallen los controles de autenticación nunca serán recibidos por sus usuarios.
Ayude a sus clientes a conocer la diferencia entre comunicaciones legítimas y fraudulentas
No todas las medidas anti-phishing deben ser de naturaleza tecnológica. Por ejemplo, mantener un tono claro y distintivo en todos sus emails y comunicaciones en redes sociales ayuda a reducir la vulnerabilidad de sus usuarios al hacer que los mensajes fraudulentos se vean toscos y poco profesionales en comparación. La diferencia en el tono hace que los mensajes de phishing sean fáciles de detectar, ya que contrastarán con las sólidas comunicaciones a las que sus usuarios estarán acostumbrados.
Establezca procesos de respuesta ante ataques de phishing
Saber que un ataque está ocurriendo no es suficiente. Cada segundo que un ataque de phishing esté activo, es un segundo donde el dinero o la información de sus clientes estará en riesgo. Usted debe contar con los recursos adecuados para derribar estos ataques, incluyendo un esfuerzo conjunto entre equipos de respuesta en caso de incidentes de seguridad digital (CSIRT), equipos de manejo de crisis de RP y asesores jurídicos.
“Una estrategia que sólo se enfoque en amenazas dentro del perímetro de la institución nunca será realmente efectiva, se requiere de una estrategia multinivel que contemple diversos frentes“, concluyó el ejecutivo.
Dejar su comentario sobre esta nota
Su direccion de correo no se publica. Los datos obligatorios se encuentran identificados con un asterisco (*)