Video: TÉCNICAS PHISHING AVANZADAS (Noviembre 2024)
Los ciber-espías diseñan rootkits elaborados y malware maliciosamente oculto para robar secretos y escuchar comunicaciones privilegiadas. Para instalar estas herramientas de espionaje, generalmente se basan en el elemento más débil en el ámbito de la seguridad; el usuario. Las campañas educativas para crear conciencia sobre la seguridad pueden ser de gran ayuda, pero hay una manera correcta y una manera incorrecta de hacerlo.
Levantando banderas rojas
El Washington Post informó la semana pasada que un comandante de combate del ejército se encargó de evaluar la capacidad de su unidad para detectar mensajes de phishing. Su mensaje de prueba dirigió a los destinatarios (menos de 100 de ellos) a visitar el sitio web de su plan de pensiones para un restablecimiento de contraseña requerido. Sin embargo, el mensaje está vinculado a un sitio falso con una URL muy similar a la real para la agencia, Thrift Savings Plan.
Los destinatarios eran inteligentes; ninguno de ellos hizo clic en el enlace falso. Sin embargo, compartieron el correo electrónico sospechoso con "miles de amigos y colegas", lo que provocó una avalancha de llamadas al Plan de Ahorro Thrift que duró semanas. Finalmente, el jefe de seguridad del plan de pensiones rastreó el mensaje hasta un dominio del Ejército, y el Pentágono rastreó al perpetrador. Según la publicación, el comandante no identificado "no fue reprendido por actuar solo, porque las reglas eran vagas".
El hecho de que Thrift Savings Plan experimentó una violación real en 2011 se sumó al factor de preocupación para los empleados federales afectados. Un funcionario de defensa le dijo al Post: "Estos son los ahorros de la gente, sus ahorros ganados con esfuerzo. Cuando comenzaste a escuchar TSP de todas las cosas, el rumor corrió desenfrenado". La agencia continúa recibiendo llamadas preocupadas basadas en la prueba de phishing.
La publicación informa que cualquier prueba de phishing futura requerirá la aprobación del Director de Información del Pentágono. Cualquier prueba que involucre a una entidad del mundo real como Thrift Savings Plan requerirá permiso previo de esa organización. El director ejecutivo de TSP, Greg Long, dejó muy claro que su organización no participaría.
Completamente mal
Entonces, ¿dónde salió mal este comandante del ejército? Una publicación reciente del blog del CTO de PhishMe Aaron Higbee dice, bueno, casi en todas partes. "Este ejercicio cometió todos los pecados cardinales de phishing simulado al carecer de objetivos definidos, al no considerar las ramificaciones que podría tener el correo electrónico, al no comunicarse con todas las partes potencialmente involucradas, y tal vez abusar de las marcas registradas / vestimenta comercial o material con derechos de autor", dijo Higbee.
"Para ser eficaz, un ataque de phishing simulado debe proporcionar al destinatario información sobre cómo mejorar en el futuro", dijo Higbee. "Una manera fácil de hacer esto es informar a los destinatarios que el ataque fue un ejercicio de entrenamiento y proporcionar entrenamiento inmediatamente después de interactuar con el correo electrónico".
"La gente a menudo cuestiona el valor que ofrece PhishMe al decir que pueden realizar ejercicios de phishing simulados en la empresa", señaló Higbee. "Aquellos con esa mentalidad deberían tomar la reciente farsa del Ejército como una historia de advertencia". Al identificar a PhishMe como "los campeones indiscutibles de peso pesado" de la educación sobre phishing, concluyó: "En los últimos 90 días, PhishMe ha enviado 1, 790, 089 correos electrónicos. La razón por la cual nuestras simulaciones de phishing no aparecen en los titulares nacionales es porque sabemos lo que estamos haciendo".
La direccion correcta
Una organización que tiene contratos con PhishMe para educación sobre phishing puede elegir una variedad de estilos de correo electrónico de prueba, ninguno de los cuales implica simular a un tercero como TSP. Por ejemplo, pueden generar un mensaje que ofrezca a los empleados un almuerzo gratis. Todo lo que necesitan hacer es iniciar sesión en el sitio web de pedidos de almuerzo "usando su nombre de usuario y contraseña de red". Otro enfoque es un ataque de doble cañón que utiliza un correo electrónico para respaldar la validez de otro, una táctica utilizada en los ataques de amenazas persistentes avanzadas del mundo real.
Independientemente del estilo de correo phishing que se elija, cualquier usuario que se enamore de él recibirá comentarios y capacitación inmediatos, y la administración obtendrá estadísticas detalladas. Con rondas repetidas de pruebas y capacitación, PhishMe tuvo como objetivo reducir el riesgo de penetración de la red a través del phishing en "hasta un 80 por ciento".
La mayoría de las organizaciones están bien protegidas contra los ataques de red que ingresan a través de Internet. La forma más fácil de penetrar en la seguridad es engañar a un empleado crédulo. La protección contra phishing integrada en las modernas suites de seguridad funciona bien contra las estafas de estilo broadcast, pero los ataques dirigidos de "phishing" son otra historia.
Si está a cargo de la seguridad de su organización, realmente necesita educar a esos empleados para que no se dejen engañar. Es posible que pueda manejar la capacitación usted mismo, pero si no, los instructores de terceros como PhishMe están listos para ayudar.
