Sensibilización sobre Phishing: como ocorre e como evitalo
Por que os delincuentes usan un ataque de phishing?
Cal é a maior vulnerabilidade de seguridade nunha organización?
A xente!
Sempre que queiran infectar un ordenador ou acceder a importantes información como números de conta, contrasinais ou números PIN, todo o que teñen que facer é preguntar.
Phishing Os ataques son habituais porque son:
- Fácil de facer – Un neno de 6 anos podería realizar un ataque de phishing.
- Scalable – Van desde ataques de spear-phishing que afectan a unha persoa ata ataques a toda unha organización.
- Moi efectivo - O 74% das organizacións sufriron un ataque de phishing exitoso.
- credenciais da conta de Gmail - $80
- PIN da tarxeta de crédito - $20
- Credenciais bancarias en liña para contas con polo menos 100 dólares neles - $40
- Contas bancarias con polo menos 2,000 dólares - $120
Probablemente esteas pensando: "Vaia, as miñas contas van polo dólar máis baixo!"
E isto é certo.
Hai outros tipos de contas que teñen un prezo moito máis alto porque son máis fáciles de manter as transferencias de diñeiro anónimas.
As contas que posúen criptografía son o premio gordo para os estafadores de phishing.
As taxas correntes para as contas criptográficas son:
- Coinbase - $610
- Blockchain.com - $310
- Binance - $410
Tamén hai outros motivos non financeiros para os ataques de phishing.
Os estados-nación poden usar ataques de phishing para piratear outros países e minar os seus datos.
Os ataques poden ser por vendettas persoais ou mesmo para destruír a reputación das corporacións ou dos inimigos políticos.
As razóns dos ataques de phishing son infinitas...
Como comeza un ataque de phishing?
Un ataque de phishing adoita comezar cando o delincuente sae directamente e envíache unha mensaxe.
Poden facerche unha chamada telefónica, un correo electrónico, unha mensaxe instantánea ou un SMS.
Poderían afirmar que son alguén que traballa para un banco, outra empresa coa que fai negocios, unha axencia gobernamental ou mesmo pretender ser alguén da súa propia organización.
Un correo electrónico de phishing pode pedirche que faga clic nunha ligazón ou que descargue e execute un ficheiro.
Podes pensar que é unha mensaxe lexítima, fai clic na ligazón dentro da súa mensaxe e inicia sesión no que parece ser o sitio web da organización na que confías.
Neste momento, a estafa de phishing está completa.
Entregaches a túa información privada ao atacante.
Como evitar un ataque de phishing
A principal estratexia para evitar ataques de phishing é formar aos empregados e crear conciencia organizativa.
Moitos ataques de phishing parecen correos electrónicos lexítimos e poden pasar por un filtro de spam ou filtros de seguridade similares.
A primeira vista, a mensaxe ou o sitio web poden parecer reais usando un deseño de logotipo coñecido, etc.
Afortunadamente, detectar ataques de phishing non é tan difícil.
O primeiro que hai que buscar é o enderezo do remitente.
Se o enderezo do remitente é unha variación dun dominio do sitio web ao que podes estar acostumado, é posible que queiras proceder con precaución e non facer clic en nada no corpo do correo electrónico.
Tamén podes mirar o enderezo do sitio web ao que te redireccionan se hai ligazóns.
Para estar seguro, debes escribir o enderezo da organización que queres visitar no navegador ou usar os favoritos do navegador.
Coidado coas ligazóns que ao pasar o rato mostran un dominio que non é o mesmo que a empresa que envía o correo electrónico.
Lea atentamente o contido da mensaxe e sexa escéptico ante todas as mensaxes que lle piden que envíe os seus datos privados ou verifique información, complete formularios ou descargue e execute ficheiros.
Ademais, non deixes que o contido da mensaxe te engane.
Os atacantes adoitan tentar asustarte para que fagas clic nunha ligazón ou te recompensen para obter os teus datos persoais.
Durante unha pandemia ou unha emerxencia nacional, os estafadores de phishing aproveitarán os medos da xente e utilizarán o contido da liña de asunto ou do corpo da mensaxe para asustarte para que tomes medidas e faga clic nunha ligazón.
Ademais, comprobe se hai erros ortográficos ou gramaticais incorrectos na mensaxe de correo electrónico ou no sitio web.
Outra cousa a ter en conta é que a maioría das empresas de confianza non adoitan pedirche que envíes datos confidenciais a través da web ou por correo.
É por iso que nunca debes facer clic en ligazóns sospeitosas nin proporcionar ningún tipo de datos confidenciais.
Que fago se recibo un correo electrónico de phishing?
Se recibes unha mensaxe que semella un ataque de phishing, tes tres opcións.
- Elimínea.
- Verifica o contido da mensaxe contactando coa organización a través da súa canle tradicional de comunicación.
- Podes reenviar a mensaxe ao teu departamento de seguridade de TI para unha análise posterior.
A túa empresa xa debería estar analizando e filtrando a maioría dos correos electrónicos sospeitosos, pero calquera pode converterse nunha vítima.
Desafortunadamente, as estafas de phishing son unha ameaza crecente en Internet e os malos sempre están a desenvolver novas tácticas para acceder á túa caixa de entrada.
Ten en conta que, ao final, es a última e máis importante capa de defensa contra os intentos de phishing.
Como deter un ataque de phishing antes de que ocorra
Dado que os ataques de phishing dependen do erro humano para ser efectivos, a mellor opción é adestrar á xente da túa empresa sobre como evitar que se agache.
Isto non significa que teñas que ter unha gran reunión ou seminario sobre como evitar un ataque de phishing.
Hai mellores formas de atopar lagoas na túa seguridade e mellorar a túa resposta humana ao phishing.
2 pasos que podes seguir para evitar unha estafa de phishing
A simulador de phishing é un software que che permite simular un ataque de phishing a todos os membros da túa organización.
Os simuladores de phishing normalmente veñen con modelos que axudan a disfrazar o correo electrónico como un provedor de confianza ou imitar os formatos de correo electrónico internos.
Os simuladores de phishing non só crean o correo electrónico, senón que axudan a configurar o sitio web falso que os destinatarios acabarán introducindo as súas credenciais se non superan a proba.
En lugar de regañalos por caer nunha trampa, a mellor forma de xestionar a situación é proporcionar información sobre como avaliar os correos electrónicos de phishing no futuro.
Se alguén non supera unha proba de phishing, o mellor é enviarlle unha lista de consellos para detectar correos electrónicos de phishing.
Incluso podes usar este artigo como referencia para os teus empregados.
Outro gran beneficio de usar un bo simulador de phishing é que pode medir a ameaza humana na súa organización, que moitas veces é difícil de predicir.
Pode levar ata un ano e medio formar aos empregados a un nivel seguro de mitigación.
É importante escoller a infraestrutura de simulación de phishing adecuada ás túas necesidades.
Se estás a facer simulacións de phishing nunha empresa, a túa tarefa será máis sinxela
Se es un MSP ou MSSP, é posible que teñas que realizar probas de phishing en varias empresas e localizacións.
Optar por unha solución baseada na nube sería a mellor opción para os usuarios que realizan varias campañas.
En Hailbytes, configuramos GoPhish, un dos marcos de phishing de código aberto máis populares como un instancia fácil de usar en AWS.
Moitos simuladores de phishing veñen no modelo Saas tradicional e teñen contratos axustados asociados a eles, pero GoPhish en AWS é un servizo baseado na nube no que pagas a un prezo medido en lugar dun contrato de 1 ou 2 anos.
Paso 2. Formación de concienciación sobre seguridade
Un beneficio fundamental de dar aos empregados conciencia de seguridade a formación protéxeos do roubo de identidade, do roubo bancario e do roubo de credenciais comerciais.
A formación de concienciación sobre seguridade é esencial para mellorar a capacidade dos empregados para detectar intentos de phishing.
Os cursos poden axudar a capacitar ao persoal para detectar intentos de phishing, pero só algúns céntranse nas pequenas empresas.
Pode ser tentador para ti, como propietario dunha pequena empresa, reducir os custos dun curso enviando algúns vídeos de Youtube sobre concienciación sobre a seguridade...
pero persoal poucas veces lembra ese tipo de formación durante máis duns días.
Hailbytes ten un curso que inclúe unha combinación de vídeos rápidos e cuestionarios para que poidas seguir o progreso dos teus empregados, demostrar que hai medidas de seguridade e reducir enormemente as túas posibilidades de sufrir unha estafa de phishing.
Podes consultar o noso curso en Udemy aquí ou facer clic no seguinte curso:
Se estás interesado en executar unha simulación gratuíta de phishing para adestrar aos teus empregados, diríxete a AWS e consulta GoPhish.
É sinxelo comezar e sempre podes poñerte en contacto connosco se necesitas axuda para configurar.
