Tabla de contenido:
Video: Cómo Ser Más Seguro De Sí Mismo - Mi propia experiencia (Noviembre 2024)
Creo que la primera vez que vi un correo electrónico de phishing fue en el año 2000 mientras trabajaba en un proyecto de prueba con Oliver Rist, quien ahora es el editor comercial de PCMag. Una mañana, ambos recibimos correos electrónicos con la línea de asunto "Te amo", que también era el cuerpo del correo electrónico y había un archivo adjunto. Ambos supimos al instante que el correo electrónico tenía que ser falso porque, como editores de revistas, sabíamos que nadie nos quería. No hicimos clic en el archivo adjunto. Estábamos, en efecto, actuando como firewalls humanos. Reconocimos un correo electrónico falso a la vista y lo eliminamos en lugar de dejar que su contenido se extendiera a nuestras computadoras y al resto de la red.
Humanos: sigue siendo un vector de ataque líder
La razón por la que los correos electrónicos de phishing son tan conocidos es porque son muy comunes. Por ahora, es justo decir que cualquier persona con una cuenta de correo electrónico habrá recibido un correo electrónico de phishing en algún momento. El correo electrónico con frecuencia pretende ser de su banco, su compañía de tarjeta de crédito o algún otro negocio que frecuenta. Pero los correos electrónicos de phishing también pueden ser una amenaza para su organización, ya que los atacantes intentan usar a sus empleados en su contra. Otra versión temprana de este ataque se produjo durante la era dorada del envío de faxes cuando los atacantes simplemente enviaban por fax una factura por servicios que nunca se prestaron a grandes empresas, con la esperanza de que los ejecutivos ocupados simplemente los enviaran para su pago.
El phishing es sorprendentemente efectivo. Según un estudio de la firma de abogados BakerHostetler, que analizó 560 violaciones de datos el año pasado, el phishing es la principal causa de incidentes de seguridad de datos en la actualidad.
Desafortunadamente, la tecnología no se ha puesto al día con los ataques de phishing. Si bien hay una serie de dispositivos de seguridad y paquetes de software diseñados para filtrar correos electrónicos maliciosos, los malos que elaboran correos electrónicos de phishing están trabajando duro para asegurarse de que sus ataques se escapen. Un estudio realizado por Cyren muestra que el escaneo de correos electrónicos tiene una tasa de falla del 10.5 por ciento en la búsqueda de correos electrónicos maliciosos. Incluso en una pequeña y mediana empresa (SMB), eso puede sumar muchos correos electrónicos, y cualquiera de los que contienen un ataque de ingeniería social puede ser una amenaza para su organización. Y no es una amenaza general, como sería el caso con la mayoría de los programas maliciosos que lograron escabullirse con sus medidas de protección de punto final, pero el tipo más siniestro que está específicamente dirigido a sus datos y recursos digitales más valiosos.
Me alertaron sobre el informe de Cyren durante una conversación con Stu Sjouwerman, fundador y CEO de KnowBe4, una compañía que puede ayudar a los profesionales de recursos humanos (RR. HH.) A enseñar conciencia de seguridad. Fue Sjouwerman quien mencionó el término "firewall humano" y también habló de "piratería humana". Su sugerencia es que las organizaciones pueden prevenir o reducir la efectividad de los ataques de ingeniería social con un entrenamiento consistente que se realice de una manera que también involucre a su personal para resolver el problema.
Por supuesto, muchas organizaciones tienen sesiones de capacitación sobre conciencia de seguridad. Probablemente haya estado en varias de esas reuniones en las que el café viejo se combina con donas rancias, mientras que un contratista contratado por RR.HH. pasa 15 minutos diciéndole que no se deje engañar por correos electrónicos de phishing, sin decirle realmente qué son o explicar qué hacer si crees que has encontrado uno. Sí, esas reuniones.
Lo que Sjouwerman sugirió que funciona mejor es crear un entorno de capacitación interactivo en el que tenga acceso a correos electrónicos de phishing reales donde pueda examinarlos. Quizás tenga un esfuerzo grupal en el que todos intenten ver los factores que apuntan a correos electrónicos de phishing, como la falta de ortografía, las direcciones que casi parecen reales o las solicitudes que, en el examen, no tienen sentido (como solicitar una transferencia inmediata de fondos corporativos a un destinatario desconocido).
Defendiendo contra la ingeniería social
Pero Sjouwerman también señaló que hay más de un tipo de ingeniería social. Ofrece un conjunto de herramientas gratuitas en el sitio web KnowBe4 que las empresas pueden usar para ayudar a sus empleados a aprender. También sugirió los siguientes nueve pasos que las empresas pueden tomar para combatir los ataques de ingeniería social.
- Cree un firewall humano capacitando a su personal para reconocer los ataques de ingeniería social cuando los vean.
- Realice pruebas de ingeniería social frecuentes y simuladas para mantener a sus empleados alerta.
- Realizar una prueba de seguridad de phishing; Knowbe4 tiene uno gratis.
- Esté atento al fraude del CEO. Estos son ataques en los que los atacantes crean un correo electrónico fraudulento que parece ser del CEO u otro oficial de alto rango, que dirige acciones como transferencias de dinero de manera urgente. Puede verificar si su dominio puede ser falsificado utilizando una herramienta gratuita de KnowBe4.
- Envíe correos electrónicos de phishing simulados a sus empleados e incluya un enlace que lo alertará si se hace clic en ese enlace. Haga un seguimiento de qué empleados caen en él y centre la capacitación en aquellos que caen en él más de una vez.
- Esté preparado para "vishing", que es un tipo de ingeniería social del correo de voz en el que se dejan mensajes que intentan obtener la acción de sus empleados. Puede parecer que se trata de llamadas de la policía, el Servicio de Impuestos Internos (IRS) o incluso el soporte técnico de Microsoft. Asegúrese de que sus empleados sepan que no deben devolver esas llamadas.
- Alerte a sus empleados sobre "phishing de texto" o "SMiShing (phishing de SMS)", que es como el phishing de correo electrónico pero con mensajes de texto. En este caso, el enlace puede estar diseñado para obtener información confidencial, como listas de contactos, desde sus teléfonos móviles. Deben estar entrenados para no tocar enlaces en mensajes de texto, incluso si parecen ser de amigos.
- Los ataques de Universal Serial Bus (USB) son sorprendentemente efectivos y son una forma confiable de penetrar en las redes con espacio de aire. La forma en que funciona es que alguien deja memorias USB en los baños, estacionamientos u otros lugares frecuentados por sus empleados; tal vez el palo tiene logotipos o etiquetas atractivas en ellos. Cuando los empleados los encuentran e insertan en una computadora útil, y lo harán si no se les enseña lo contrario, entonces el malware en ellos ingresa a su red. Así es como el malware Stuxnet penetró en el programa nuclear iraní. Knowbe4 también tiene una herramienta gratuita para probar esto.
- El paquete de ataque también es sorprendentemente efectivo. Aquí es donde alguien aparece con un montón de cajas (o, a veces, pizzas) y pide que se les permita entrar para que puedan ser entregadas. Mientras no estás mirando, deslizan un dispositivo USB en una computadora cercana. Sus empleados necesitan ser entrenados mediante la realización de ataques simulados. Puedes animarlos entrenando para esto y luego compartiendo las pizzas si lo hacen bien.
Como puede ver, la ingeniería social puede ser un verdadero desafío y puede ser mucho más eficaz de lo que quisiera. La única forma de combatirlo es involucrar activamente a sus empleados en detectar tales ataques y llamarlos. Bien hecho, sus empleados realmente disfrutarán el proceso, y tal vez también obtengan algunas pizzas gratis.
