W-2 de sus empleados podrían no ser atractiva propietaria misterios , Pero hay que empezar a tratar a estos documentos como usted trata a su propiedad intelectual. A medida que la temporada de impuestos llega a su fin, los piratas informáticos tienen miles de personas ya robadas, si no millones, de W-2 de docenas de empresas a través de los EE.UU.

Estas ataques de phishing dirigidos son simples; los piratas informáticos no están utilizando virus desagradable o infiltrante su red. En lugar de ello, los hackers utilizan un poco de ingeniería social y envían lo que parece ser un correo electrónico regular de un ejecutivo en su empresa. Un pirata informático que simule la dirección de correo electrónico de un CEO o CFO y enviar una solicitud a un empleado en nómina pidiendo un PDF de W-2 de todos los empleados. El método de baja tecnología ha sido engañando a los empleados de todos los tipos de empresas - empresa de almacenamiento de datos Seagate , Plataforma de medios sociales Snapchat , Prestamista Árbol del dinero , E incluso Inc. La empresa matriz de la revista.

"Esta es una epidemia", dice Stu Sjouwerman, fundador y CEO de formación en seguridad y compañía sensibilización KnowBe4 .

Desde febrero, un nuevo lote de las empresas admite el envío de formularios W-2 a los criminales cada semana. No hay números concretos de este año, sin embargo, pero el año pasado el IRS envió 1,5 millones de estadounidenses que han sido víctimas de fraude fiscal un PIN único que se utiliza cuando la presentación de sus impuestos. Los hackers consiguieron incluso robar información personal de 700.000 personas directamente desde el sitio web del IRS . Además de estos incidentes, los hackers han birlado millones de datos personales de las personas de docenas de empresas, organismos públicos, empresas de salud y hospitales en 2015 y 2016. En 2013 solo, el IRS pagó $ 5.8 mil millones en declaraciones de impuestos fraudulentas .

El agente especial Aaron Gogley, que trabaja para el equipo de Investigación Criminal del IRS en el Grupo de Trabajo de Cyber ​​Houston del FBI, no quiso decir cuántas empresas han caído en el esquema, pero dice que es un problema importante.

"Si nos fijamos en la dirección de correo electrónico, en realidad va a parecer que es del CEO", dice. "Estos correos electrónicos se hacen a mano muy bien e incluso el idioma en el cuerpo del correo electrónico sonarán como cómo el ejecutivo escribe mensajes de correo electrónico".

Pero, ¿cómo sucede esto? Gogley dice que el éxito de este tipo de corte no sólo se debe a la forma en focalizados, específicos y bien escritos los correos electrónicos de phishing se han convertido, sino también porque la mayoría de las empresas no esperan ser hackeado para formularios de impuestos de los empleados.

"Para los delincuentes, el W-2 es las joyas de la corona", dice Gogley. "Para las empresas, el W-2 es un área pasa por alto porque la mayoría de las organizaciones piensan que sus joyas de la corona son sus productos o información comercial. Cuando la gente piensa acerca de la pérdida de datos, la mayoría de las empresas no piensan en W-2 de sus empleados como la primera cosa proteger."

Así que, ¿cómo proteger su empresa de correos electrónicos de phishing W-2?

Conocer sus activos

En primer lugar, Gogley dice que tienes que dejar de pensar que su empresa no tiene nada de valor e intensificar su juego la seguridad. Un W-2 contiene el nombre de un empleado, dirección, número de la seguridad social, el empleador número de identificación fiscal, el salario y las retenciones. Los hackers pueden utilizar esta información para presentar sus impuestos y robar su declaración, pero también pueden utilizar su información para una serie de otros delitos relacionados con el robo de identidad.

"Muchas personas piensan que no tienen información que es valiosa, pero su identidad es valioso y tiene que ser protegido", dice.

correo electrónico y archivos encypt

Una vez que se da cuenta que tiene una abundancia de botín que se sienta en archivadores, discos duros y servidores, Gogley dice que debe protegerlo.

"Es necesario adoptar cifrado como un cambio de estilo de vida lo que es menos vulnerable", dice.

Hay docenas de tipos de software de cifrado, así que escoja uno y cifrar su correo electrónico, ordenadores y archivos.

Parche su servidor de correo electrónico

Patrick Peterson, fundador y CEO de la empresa de seguridad de correo electrónico agari , Dice que los correos electrónicos de phishing son propensos a navegar a través de su filtro de correo no deseado debido a que los mensajes no contienen malware. Dice que necesita para configurar el servidor de correo electrónico para bloquear cualquier correo electrónico externas que pretenden ser correos electrónicos internos. (El departamento de TI sabrá cómo hacer esto).

"No hemos hablado con una sola compañía que no ha recibido estos correos electrónicos de phishing", dice Peterson. "Los piratas informáticos han aprovechado las mismas herramientas y redes como lo hacemos, lo que los hace tan exitoso en su ingeniería social".

Agari tiene una nuevo servicio que verifica la identidad de todos los correos electrónicos de su empresa recibe y se eliminarán todos los Phishy.

Educar y capacitar a su personal

Usted necesita decirle a sus empleados acerca de estos tipos de ataques de phishing y explicar la forma en que son para no enviar nunca W-2 a través de correo electrónico. No hay razón alguna para poner todos los formularios W-2 de sus empleados en un documento PDF y enviarlos. Capacitar al personal para dejar de hacer clic en enlaces en correos electrónicos, a pensar antes de responder a los mensajes, y para no enviar nunca información personal que pertenece a ellos o sus compañeros de trabajo a cualquiera.

"Esto no es un ataque teórico, esto está sucediendo realmente. Esta es una amenaza todo el mundo se enfrenta y hay que tomarlo en serio", dice Gogley.