Jan, 24-2023
Phishing
0 Comments
Prevenir ataques de phishing

Consejo 1: Revisar la configuración de las cuentas

Configurar las cuentas de las personas que trabajan en la empresa o emprendimiento, utilizando el principio de "menor privilegio". Esto significa otorgar al personal el nivel más bajo de derechos de usuario necesarios para realizar su trabajo, por lo que, si es víctima de un ataque de phishing, el daño potencial se reduce. 

Una cuenta de administrador es una cuenta de usuario que le permite realizar cambios que afectarán a otros usuarios. Los administradores pueden cambiar la configuración de seguridad, instalar software y hardware y acceder a todos los archivos de la computadora. Por lo tanto, un atacante que tenga acceso no autorizado a una cuenta de administrador puede ser mucho más perjudicial que acceder a una cuenta de usuario estándar. Para reducir aún más el daño que puede causar el malware o la pérdida de los datos de inicio de sesión, evitar o minimizar el uso por parte del personal de una cuenta con privilegios de administrador. 

Utilizar el doble factor de autenticación en las cuentas importantes, como el correo electrónico o redes sociales. Esto significa que incluso si un atacante conoce las contraseñas, no podrá acceder a esa cuenta fácilmente.

Consejo 2: Concientizar al personal

Considerar las formas en que alguien podría dirigirse a la empresa y asegurarse de que todo el personal comprenda las formas normales de trabajo, especialmente en lo que respecta a la interacción con otros emprendimientos, para que estén alertas para detectar solicitudes fuera de lo común.

Los ataques más frecuentes incluyen enviar una factura por un servicio que no has utilizado, por lo que cuando se abre el archivo adjunto, el malware se instala automáticamente sin tu conocimiento en la computadora. Otra forma es engañar al personal para que transfiera dinero o información mediante el envío de correos electrónicos que parecen auténticos. 

Es bueno pensar en las prácticas laborales habituales y en cómo ayudar a que estos ataques tengan menos probabilidades de éxito. 

Por ejemplo:

  • ¿El personal sabe qué hacer con solicitudes inusuales y dónde obtener ayuda?
  • Si alguien que se hace pasar por una persona importante (un cliente o gerente) por correo electrónico, cómo verificar su identidad antes de cumplir con lo que pide.
  • Quienes estafan, a menudo envían correos electrónicos de phishing de grandes organizaciones como entidades financieras, o de cualquier otra entidad pública con la que se acostumbre hacer gestiones, con la esperanza de que algunos de los destinatarios del correo electrónico tengan una conexión con esa empresa y poder engañarlos. Nunca van a solicitar datos sobre usuarios y contraseñas, es bueno verificar con una llamada a la organización remitente si esto ocurre. Si se recibe un correo electrónico de una organización con la que no hay negocios, se debe tratar con sospecha.
  • Pensar en cómo alentar y apoyar al personal para que cuestione solicitudes sospechosas o simplemente inusuales, incluso si parecen ser de personas importantes. Tener la confianza para preguntar “¿es esto genuino?” puede ser la diferencia entre mantenerse a salvo o un percance costoso.

También es importante observar cómo se ven tus comunicaciones salientes a los proveedores y clientes. Por ejemplo, ¿se envían correos electrónicos solicitando dinero o contraseñas? Los correos electrónicos ¿se confundirán con phishing o dejarán a las personas vulnerables a un ataque que ha sido diseñado para parecerse a un correo electrónico de la empresa? Hay que considerar decirle a los proveedores o clientes que "nunca le pediremos su contraseña" o "nuestros datos bancarios no cambiarán en ningún momento".

Consejo 3: Revisar las señales de alerta

Los servicios de filtrado de correo electrónico intentan enviar los correos electrónicos de phishing o correo no deseado a carpetas denominadas SPAM. Sin embargo, las reglas que determinan este filtrado deben ajustarse a las necesidades de la empresa. 

Es posible que se deba mantener actualizadas las reglas, para garantizar una mejor protección. Si estas reglas son demasiado abiertas y los correos electrónicos sospechosos no se envían a las carpetas de correo no deseado/SPAM, los usuarios tendrán que administrar una gran cantidad de correos electrónicos, aumentando su carga de trabajo y dejando abierta la posibilidad de acceder a ellos. Sin embargo, si las reglas son demasiado estrictas, algunos correos electrónicos legítimos podrían perderse.

Para mejorar la gestión del filtrado del servicio de correo electrónico de la empresa es fundamental que el personal conozca las señales de advertencia que le permitan identificar este tipo de correos engañosos y que sepa dónde reportarlos.

Señales de alerta:

Idioma y contenido

  • Utiliza un saludo genérico

¿Se dirige por su nombre o se refiere a 'cliente valioso', 'amigo' o 'colega'? Esto puede ser una señal de que el remitente no te conoce realmente.

  • Menciona algún sentido de urgencia

¿El correo electrónico contiene una amenaza o pedido de actuar con urgencia? Sospecha de palabras como "envíe estos detalles dentro de las 24 horas" o "ha sido víctima de un delito, haga clic aquí de inmediato".

  • Pide información sensible, hace llamamientos humanitarios, ofertas demasiado buenas

Verificar por otro medio que sea real.

Indicador técnico

  • Cuenta de correo del remitente

Muchas veces pueden mostrar un nombre de un contacto (alias) conocido, pero provenir de un correo desconocido. Ten especial cuidado si parecen provenir de una persona de alto rango dentro de la empresa, u empresa conocida, solicitando que se realice un pago a una cuenta bancaria en particular. Mirar el alias del remitente y verificar que éste coincida con la cuenta de correo.

  • Contiene archivos adjuntos

Cuando se recibe un archivo adjunto en un correo, verificar que sea de un remitente real y si esperabas recibirlo. Si no se puede confirmar que se trata de un mensaje legítimo, desestimar el archivo, no abrirlo ni descargarlo.

  • Contiene enlaces a un sitio en línea

Cuando se reciba un correo con un acceso a un sitio en línea como por ejemplo de e-banca, compras u una red social:

  • Evitar hacerlo a través del enlace que envían o revisar la URL del enlace antes de hacer clic en él.
  • Ingresar manualmente la dirección en el navegador.
  • Si el navegador alerta que el sitio al que se quiere acceder no es seguro o peligroso, no intentar iniciar sesión, brindar información o realizar pagos allí.
  • Corroborar que en la barra del navegador aparezca el candado que indica que la conexión es segura.
  • El punto anterior no indica que el sitio es auténtico, verificar además URL, su apariencia, marcas, logos, aspecto real.

Errores

  • Ortografía, gramática y puntuación

Muchos de los correos de phishing contienen errores ortográficos o de redacción, debido al uso de traductores automatizados. La estética también se asemeja mucho a la original, pero algún detalle siempre se escapa.

Evitar brindar información personal o confidencial por correo electrónico o por teléfono. En caso de recibir una notificación de este tipo, comunicarse con la organización para verificar su validez.

Consejo 4: Chequear qué información hay disponible en línea sobre la empresa o emprendimiento

Los atacantes utilizan información pública disponible sobre la empresa y del personal para hacer que sus mensajes de phishing sean más convincentes. Esto a menudo se obtiene del sitio web y cuentas de redes sociales, información conocida como “huella digital”.

  • Comprender el impacto de la información compartida en el sitio web y las páginas de redes sociales de la empresa. ¿Qué necesitan saber los visitantes del sitio web y qué detalles son innecesarios, pero podrían ser útiles para los atacantes?
  • Ser consciente de lo que socios, contratistas y proveedores disponibilizan sobre la empresa.
  • Ayudar al personal a comprender cómo el hecho de compartir su información personal puede afectarlos a ellos y a la empresa o emprendimiento. No se trata de esperar que las personas eliminen todo rastro de sí mismas de internet; es importante ayudarles a ser conscientes y gestionar su huella digital, (conformada por rastros de información sobre creencias, valores, habilidades, intereses, hobbies, ubicación e imágenes) dando forma a su perfil para que funcione para ellos y para el comercio o negocio.
Elena fabiola Farfán Morales
Profesional de las comunicaciones, relacionadora publica hoy viviendo la pasión de conectar atraves de la generación de contenido

Categorías

Tendencias
33
Motivacion
2
Concienciación
9
CIS Controls
3
Ransomware
14
Phishing
8
Cracker
2
Actualidad
26
ISO 27001
11
Ingeniería social
6
3CX
2
Análisis y opinión
9
Consejos
4
Backup
7
Firewalls
1
Zero Trust
1
Hackers
2
Ciberseguridad
94
AI
2
Biometría
1
Inteligencia Artificial
2
Portal de Clientes
7
PRTG
5

Noticias recientes

El phishing ya no llega solo por correo: ahora también entra por WhatsApp El phishing ya no llega solo por correo: ahora también entra por WhatsApp
El phishing ya no roba contraseñas: ahora roba sesiones completas El phishing evoluciona: ahora roba sesiones, no contraseñas
La seguridad no falla por falta de herramientas: falla por falta de conexión entre ellas La seguridad no falla por falta de herramientas: falla por falta de conexión entre ellas
KadNap y la evolución del malware: por qué los ataques son cada vez más difíciles de detectar El malware ya no necesita servidores visibles.

Relacionado

Ver todos
¡Entérate! Cómo pueden hackear tus datos por Zoom
El portal de noticias de informática Noticias de Seguridad compartió recientemente una noticia refer
Elena fabiola Farfán Morales
Jan, 03-2023 Phishing
Qué relación hay entre el Traductor de Google y el Phishing
El traductor de Google y el phishing están más vinculados de lo que parece, pero este vínculo puede
Elena fabiola Farfán Morales
Jan, 05-2023 Phishing
Cómo enseñar a los colegas sobre los peligros del phishing
Todos los días en todo el mundo, decenas de miles de empleados son víctimas de estafas de phishing .
Elena fabiola Farfán Morales
Jan, 16-2023 Phishing
¿Cómo es un phishing y como evitarlo de manera sencilla?
Existen muchos modos de enviar un email con virus, phishing, y en general contenido malicioso. Están
Elena fabiola Farfán Morales
Jan, 18-2023 Phishing