Jan, 16-2023
Phishing
0 Comments
Cómo enseñar a los colegas sobre los peligros del phishing

Los resultados pueden ser devastadores: desde pérdida de datos y robo de identidad hasta seguridad comprometida e incluso fondos robados. La ciberseguridad es responsabilidad de todos, pero la responsabilidad del departamento de ciberseguridad es capacitar a nuestro firewall humano para que reconozca las amenazas y actúe en consecuencia. Con educación, capacitación y compromiso de los empleados, cualquier organización puede adelantarse a la amenaza utilizando las herramientas a su disposición (sus colegas) para detectar y responder rápidamente cuando detectan actividad de phishing, eliminando así su impacto potencial en el negocio.

La formación debe ser obligatoria y supervisada. Todos deberían participar, desde el director ejecutivo hasta el pasante universitario a tiempo parcial. Para muchas empresas, la concienciación sobre ciberseguridad (principalmente phishing) es una parte esencial de la incorporación.

Probando las aguas

Para el profano, es difícil entender cómo funcionan las estafas de phishing sin verlas en acción. Podría explicar que un correo electrónico de phishing es un correo electrónico falso que parece provenir de alguien que conoce, pero explicarlo no es suficiente para ayudar a sus colegas a comprender la facilidad con la que los malhechores engañan a las personas y lo devastador que puede ser un ataque de phishing exitoso.

Una forma de probar la conciencia de seguridad de los empleados es a través de un ataque de phishing simulado. Esto contendría correos electrónicos enviados a los empleados, fingiendo ser de una fuente externa o de uno de sus colegas (lo cual es fácil de descubrir para un mal actor a través de LinkedIn), indicándoles que tomen una acción, sigan un enlace, o abrir un archivo adjunto.

El objetivo de este ejercicio es doble: en primer lugar, puede ver qué tan bien preparados están sus colegas para la realidad; en segundo lugar, si caen en la trampa y hacen clic en algo malicioso, entonces saben qué tipo de capacitación debe mejorarse para evitar futuros ataques como estos. También pone inmediatamente en primer plano la importancia de la concientización sobre el phishing y lo convierte en parte de la conversación organizacional.

Necesitamos usar ejemplos que sean personales, pero no demasiado personales. Algo que no tenga nada que ver con ellos personalmente, para que no se sientan señalados innecesariamente, pero que les llegue lo suficientemente cerca como para que presten atención.

Hay muchos tipos diferentes de ataques simulados que puedes probar; aquí hay algunos ejemplos:

  • Un empleado recibe un correo electrónico de Recursos Humanos con información sobre un aumento en la asignación financiera de la empresa para trabajadores remotos, pero hay algo "fuera de lugar" en el mensaje. Hace referencia a ubicaciones remotas donde la empresa no tiene presencia o donde nadie trabaja de forma remota. Además, el mensaje está mal escrito según los estándares de recursos humanos.
  • Un colega recibe una invitación a una reunión de Microsoft Teams de parte de su superior, sin embargo, la empresa usa habitualmente Zoom para las reuniones, y el diseño y la sintaxis del correo electrónico parecen un poco sospechosos.
  • Otro mensaje de Recursos Humanos, esta vez preguntando al personal si les gustaría participar en el almuerzo de pizza para Halloween, con el mensaje " Haga clic aquí para agregar su nombre en la hoja de cálculo". Sin embargo, este mensaje proviene de una cuenta de correo web y no de la dirección de correo electrónico interna habitual de recursos humanos.
  • “¿Revisar esto por mí?” No es lo habitual que esperarían de su gerente, pero parece legítimo. ¿O sí? ¿Qué tipo de apego es ese? Si miran de cerca, verán el extraño error ortográfico en el correo electrónico, ¡incluido el nombre de dominio de la empresa!
  • “Querida Jane/John”. Una carta del director ejecutivo que requiere una acción inmediata. Necesitan un documento potencialmente sensible, AHORA. Es urgente y urgente, pero ¿por qué escribirían directamente al miembro del personal y usarían su nombre de pila? Pedir que se haga algo que no es la norma es un indicador clásico de que un mensaje podría ser malicioso.
  • Como prueba adicional, ¿Cuántas personas hacen clic a ciegas en el enlace "Dejar de seguir" en la parte inferior de un correo electrónico? Cuando los colegas reciben spam publicitario masivo sobre un próximo evento de actualidad, deberían agregarlo a su lista de basura. Una ventana emergente que dice que han sido objeto de suplantación de identidad cuando hacen clic en "dejar de seguir" sería seriamente aleccionador.

Hay un montón de posibilidades; simplemente mantenga la prueba alcanzable y realista. Este es un ejercicio de educación, y los colegas siempre deben tener la oportunidad de detectar el ataque. Muéstreles cómo son los peligros en la naturaleza. Esta prueba inicial es para demostrar a otros departamentos que el phishing es una amenaza real y que no siempre pueden confiar en el remitente de un enlace, un archivo adjunto o el contenido de un correo electrónico.

Diles lo que necesitan saber

Nuestros colegas no necesitan conocer la semántica del phishing selectivo, la caza de ballenas o el smishing; necesitan conocer los hechos y los peligros, y cómo reaccionar. Nuestros empleados son nuestro mejor activo de seguridad, y este ejercicio se trata de movilizar ese activo y no complicar demasiado las cosas.

Los colegas deben ser conscientes de los peligros del phishing, y ayuda a mostrar los vínculos entre el phishing y el ciberdelito. Necesitan saber qué tan fácil es ser víctima de un ataque de phishing, y los ejemplos concretos de phishing y sus efectos a menudo tendrán más impacto que las advertencias generales. Explique que el phishing es una de las formas más comunes de extorsión digital, que permite a los delincuentes obtener acceso a información confidencial, dinero o datos personales de los clientes. Muéstreles los números. El phishing también permite ataques de malware: software diseñado específicamente para obtener detalles para que los hackers de sombrero negro puedan robar el negocio más adelante. El malware puede variar desde software espía que rastrea todo lo que hacen en línea (y envía estos datos a los piratas informáticos), a los virus que se instalan en las computadoras sin permiso y luego causan estragos en los sistemas a través de las redes (a veces causando daños irreparables). Hábleles de las ramificaciones para el negocio: las consecuencias de las relaciones públicas y la pérdida de ingresos y reputación. Los colegas deben comprender la gravedad de la situación, pero de una manera clara y sencilla. Recuerde, no todo el mundo es tan experto en IT como el departamento de IT/seguridad.

El personal debe comprender las señales de un correo electrónico de phishing:

  • Archivos adjuntos sospechosos
  • mala gramática
  • Errores de ortografía
  • Un sentido indebido de urgencia
  • Un tono desconocido
  • Inconsistencias en las direcciones de correo electrónico
  • Discrepancias en los nombres de dominio
  • Solicitudes inusuales
  • Ambigüedad
  • Solicitudes de credenciales
  • ¿Qué es la ingeniería social?

Es importante destacar que el personal también debe saber cómo denunciar correos electrónicos sospechosos a las personas adecuadas en el negocio para que puedan ser bloqueados e investigados.

Consejos de enseñanza

El phishing es una amenaza muy real para las empresas y, con la educación y la capacitación adecuadas, su personal puede detectar los intentos de phishing y responder rápidamente cuando los vea. Como profesionales de la ciberseguridad, no somos profesores por naturaleza, así que recuerde lo siguiente para ayudar a que la formación se desarrolle sin problemas.

  • No utilice jerga o argot. Use la terminología correcta para que todos tengan una base común; explique los tipos de ataques de phishing que ve en su organización y explique qué intenta hacer cada uno.
  • Sea conciso, pero explique las cosas correctamente. Las personas, especialmente nuestros equipos de gestión, quieren superar esto rápidamente para poder continuar con su día. El objetivo es brindarles una descripción general rápida de cómo se ve el phishing sin abrumarlos con información técnica o clichés que no se les quedarán grabados.
  • Nadie quiere que Benny Hill le enseñe, pero la extraña broma ayuda a la gente a recordar.

Encontrando a tu Spielberg

Si bien hay muchos servicios en línea que ofrecen educación sobre phishing, invariablemente tienen un costo asociado y no son "personales" para su negocio. Muy a menudo, todo lo que se necesita es un fuerte conocimiento del problema, instrucciones sobre qué acciones debe tomar un colega si detecta un correo electrónico malicioso y refuerzo de ese conocimiento.

Hay un viejo adagio que dice: "Muestra, no digas", que es doblemente cierto cuando se trata de interfaces. Lo ideal es que cualquier formación se realice de forma presencial, para dar ese toque personal. Aquí es donde entra en juego el poder del video. Hay varios buenos videos de concientización sobre el tema general del phishing, simplemente pruebe con YouTube o Vimeo, pero puede ser necesario que cree su propio video que muestre cómo informar una estafa de phishing si usa los informes de Outlook u otros . sistemas, simplemente grabando en pantalla el proceso y agregando una breve voz en off.

Al crear su propio contenido, es posible proporcionar ejemplos relevantes. Por ejemplo, muestre los correos electrónicos de colegas que se han enviado a otros en su organización (y cómo reaccionaron esos destinatarios). Discuta cómo se diseñaron estos correos electrónicos y qué los hizo parecer lo suficientemente legítimos como para que los usuarios hicieran clic en los enlaces incluidos en ellos.

Esto se puede usar una y otra vez y ahorrará mucho tiempo en el entrenamiento 1 a 1.

un esfuerzo de equipo

La ciberseguridad es responsabilidad de todos, y debemos alentar a los empleados a educarse entre sí sobre cómo detectar y evitar ser víctimas de intentos de phishing. Incluso puede haber un elemento de gamificación aquí. Cuando los colegas sepan cómo es un phishing, estarán mejor equipados para protegerse a sí mismos, y si uno de ellos es engañado de todos modos, sus colegas estarán allí para ofrecerle consejos y señalarle los canales apropiados para remediarlo.

Vuelve a visitar la piscina

Las pruebas periódicas de phishing son esenciales para mantener el tema de la ciberseguridad en el radar de nuestros colegas. Si necesita más información sobre cómo realizar ataques de phishing simulados, consulte este artículo .

Las pruebas semirregulares significan que siempre están buscando señales y la posibilidad de informar comunicaciones maliciosas. Monitorear esto es importante. Es importante saber quién falló en la prueba registrando las visitas a los enlaces o cuándo se abren los archivos adjuntos. Puede ser necesario ofrecer reeducación con un entrenamiento más profundo para los infractores reincidentes, aunque recuerde que no es un ejercicio vergonzoso, no importa lo tentador que sea jugar "Never Gonna Give You Up" a todo volumen en su PC si hacen un error.

Si desea recompensar a las personas por denunciar intentos de phishing, considere ofrecer un pequeño incentivo, como tarjetas de regalo. Esto alentará a más empleados a denunciar correos electrónicos sospechosos y lo ayudará a identificar a los campeones de phishing en su organización.

Buena suerte, y si se encuentra en una posición en la que necesita persuadir a sus colegas de la importancia de realizar pruebas internas de phishing, intente mostrarles algunos de estos números .

Elena fabiola Farfán Morales
Profesional de las comunicaciones, relacionadora publica hoy viviendo la pasión de conectar atraves de la generación de contenido

Categorías

Tendencias
33
Motivacion
2
Concienciación
9
CIS Controls
3
Ransomware
14
Phishing
8
Cracker
2
Actualidad
26
ISO 27001
11
Ingeniería social
6
3CX
2
Análisis y opinión
9
Consejos
4
Backup
7
Firewalls
1
Zero Trust
1
Hackers
2
Ciberseguridad
94
AI
2
Biometría
1
Inteligencia Artificial
2
Portal de Clientes
7
PRTG
5

Noticias recientes

El phishing ya no llega solo por correo: ahora también entra por WhatsApp El phishing ya no llega solo por correo: ahora también entra por WhatsApp
El phishing ya no roba contraseñas: ahora roba sesiones completas El phishing evoluciona: ahora roba sesiones, no contraseñas
La seguridad no falla por falta de herramientas: falla por falta de conexión entre ellas La seguridad no falla por falta de herramientas: falla por falta de conexión entre ellas
KadNap y la evolución del malware: por qué los ataques son cada vez más difíciles de detectar El malware ya no necesita servidores visibles.

Relacionado

Ver todos
¡Entérate! Cómo pueden hackear tus datos por Zoom
El portal de noticias de informática Noticias de Seguridad compartió recientemente una noticia refer
Elena fabiola Farfán Morales
Jan, 03-2023 Phishing
Qué relación hay entre el Traductor de Google y el Phishing
El traductor de Google y el phishing están más vinculados de lo que parece, pero este vínculo puede
Elena fabiola Farfán Morales
Jan, 05-2023 Phishing
¿Cómo es un phishing y como evitarlo de manera sencilla?
Existen muchos modos de enviar un email con virus, phishing, y en general contenido malicioso. Están
Elena fabiola Farfán Morales
Jan, 18-2023 Phishing
Prevenir ataques de phishing
Esta sección contiene 4 pasos sencillos para ayudarte a identificar los ataques de phishing más comu
Elena fabiola Farfán Morales
Jan, 24-2023 Phishing