Campaña de phishing suplanta las alertas de correo electrónico del Departamento de Seguridad Nacional de Estados Unidos

Una estafa masiva de phishing de correo electrónico está tratando de engañar a los destinatarios para que abran archivos adjuntos maliciosos disfrazados de notificaciones del Departamento de Seguridad Nacional de Estados Unidos (DHS), de acuerdo con la Agencia de Seguridad de USA, en un aviso publicado en la web oficial del US-CERT este martes pasado.

"La campaña de phising utiliza una dirección de email falsificada para aparecer como una alerta del Sistema Nacional de Concienciación Cibernética (NCAS) y atraer a los destinatarios específicos para que descarguen malware a través de un archivo adjunto malicioso", dice la declaración de CISA, cuya agencia matriz es DHS. También señala que ellos nunca envían notificaciones que contengan archivos adjuntos.

Para protegerse contra este y otros ataques de ingeniería social, CISA aconseja a los usuarios y administradores que tengan cuidado con los correos electrónicos no solicitados, incluso cuando el remitente parece ser conocido, y tenga cuidado con los enlaces y archivos adjuntos. También se recomienda a los destinatarios de correo electrónico que verifiquen la dirección web del remitente y busquen en Internet el sitio web principal de la organización a la que se hace referencia en el correo electrónico.

Sherban Naum, vicepresidente senior de estrategia y tecnología corporativa para  Bromium .

“Vivimos en una economía digital interconectada, en la que las empresas son cada vez más vulnerables a los ataques online que se dirigen a los usuarios, el tradicional 'eslabón débil' en la ciberseguridad. El aumento de las campañas de phishing convincentes, como las que pretenden ser del DHS, enfoca el problema ", dijo Sherban Naum, vicepresidente senior de estrategia y tecnología corporativa de Bromium, en comentarios enviados por correo electrónico. Naum recomienda que las organizaciones se defiendan a sí mismas adoptando una estrategia de seguridad de defensa en profundidad, porque "No podemos seguir poniendo la responsabilidad de la seguridad en los usuarios y esperar que detecten estas amenazas ..."