Introdución: Sensibilización sobre Phishing no lugar de traballo
Este artigo aclara o que Phishing é, e como se pode previr coas ferramentas e a formación adecuadas. O texto foi transcrito dunha entrevista entre John Shedd e David McHale de HailBytes.
Que é o phishing?
O phishing é unha forma de enxeñaría social, normalmente a través de correo electrónico ou SMS ou por teléfono, onde os criminais intentan conseguir algún tipo de información que poden usar para acceder a cousas ás que non deberían poder acceder.
Para as persoas que descoñecían, hai un par de tipos diferentes de ataques de phishing.
Cal é a diferenza entre o phishing xeral e o spearphishing?
O phishing xeral é normalmente un envío masivo de correos electrónicos que teñen o mesmo formato para tentar que alguén faga clic nel sen moito esforzo.
O phishing xeral é realmente un xogo de números, mentres que os criminais de spearphishing irán e investigarán un obxectivo.
Co spearphishing, hai un pouco máis de preparación e a taxa de éxito adoita ser moito maior.
Como resultado, as persoas que usan o spearphishing adoitan buscar obxectivos máis valiosos. Algúns exemplos inclúen contadores ou directores financeiros que teñen a capacidade de darlles algo de valor.
En conclusión: O phishing xeral é bastante autoexplicativo co termo xeral e o spearphishing é máis específico co obxectivo individual.
Como identificar un ataque de phishing?
Normalmente, o que verás para phishing xeral é un nome de dominio que non coincide ou un nome de remitente que non estea familiarizado. Outra cousa a ter en conta é a mala ortografía ou a mala gramática.
Podes ver anexos que non teñen moito sentido ou anexos que son tipos de ficheiros aos que normalmente non accederías.
Poden pedirche que fagas algo que está fóra do proceso normal da túa empresa.
Cales son algunhas boas prácticas para evitar un ataque de phishing?
É importante ter ben políticas de seguridade En lugar.
Debería comprender os procesos que son actividades comúns de alto risco, como o envío de nóminas ou o envío de transferencias bancarias. Eses son algúns dos vectores máis comúns que vemos para os criminais que basicamente se aproveitan desa confianza e despois danan unha empresa.
Deberías entender que se hai algo sospeitoso, deberían informarlo e ter algún tipo de proceso en marcha para facilitar aos usuarios a solicitude de axuda.
Debes saber as cousas básicas que hai que comprobar en cada correo electrónico, porque moitos usuarios non saben que buscar ou simplemente descoñecen.
Como axuda Hailbytes coa concienciación e adestramento de phishing?
Ofrecemos simulacións de phishing nas que enviaremos ás empresas correos electrónicos de phishing nos que os usuarios fagan clic, e podemos entender como é a súa postura de seguranza. En definitiva, podemos descubrir que usuarios son vulnerables na súa organización.
As nosas ferramentas permítenlles reenviar correos electrónicos e obter un informe para entender que hai sobre os factores de risco nese correo electrónico e, a continuación, o equipo de seguridade internamente tamén recibirémos ese informe.
Tamén contamos con formacións básicas e avanzadas sobre seguridade que lles mostrarán a estes usuarios moitas das tácticas comúns que se usan e moitas das cousas comúns que teñen que ter en conta cando sospeitan que un correo electrónico pode conter un ataque de phishing.
Puntos de conclusión:
- O phishing é unha forma de enxeñería social.
- O phishing xeral é unha forma de ataque moi estendida.
- Spearphishing implica investigacións sobre o obxectivo do phishing e ten máis éxito para o estafador.
- ter un política de seguridade no lugar é o primeiro paso para mitigar cibersegurança ameazas.
- O phishing pódese evitar mediante adestramentos e simuladores de phishing.
