menú
A guía definitiva para comprender o phishing en 2023
Entón, o que é Phishing?
O phishing é unha forma de enxeñaría social que engana ás persoas para que revelen os seus contrasinais ou valiosos información. Os ataques de phishing poden ser en forma de correos electrónicos, mensaxes de texto e chamadas telefónicas.
Normalmente, estes ataques preséntanse como servizos e empresas populares que a xente recoñece facilmente.
Cando os usuarios fan clic nunha ligazón de phishing no corpo dun correo electrónico, envíanse a unha versión similar dun sitio no que confían. Pídeselles as súas credenciais de inicio de sesión neste momento da estafa de phishing. Unha vez que introduce a súa información no sitio web falso, o atacante ten o que necesita para acceder á súa conta real.
Os ataques de phishing poden provocar o roubo de información persoal, financeira ou sanitaria. Unha vez que o atacante ten acceso a unha conta, vende o acceso á conta ou usa esa información para piratear outras contas da vítima.
Unha vez vendida a conta, alguén que saiba como sacar proveito da conta mercará as credenciais da conta da web escura e aproveitará os datos roubados.
Aquí tes unha visualización para axudarche a comprender os pasos nun ataque de phishing:
Os ataques de phishing teñen diferentes formas. O phishing pode funcionar desde unha chamada telefónica, unha mensaxe de texto, un correo electrónico ou unha mensaxe de redes sociais.
Os correos electrónicos xenéricos de phishing son o tipo máis común de ataque de phishing. Ataques como estes son comúns porque requiren o menor esforzo.
Os piratas informáticos toman unha lista de enderezos de correo electrónico asociados con Paypal ou contas de redes sociais e envían un correo electrónico masivo ás vítimas potenciais.
Cando a vítima fai clic na ligazón do correo electrónico, moitas veces lévaa a unha versión falsa dun sitio web popular e pídelle que inicie sesión coa información da súa conta. Tan pronto como envíen a información da súa conta, o hacker ten o que necesita para acceder á súa conta.
En certo sentido, este tipo de phishing é como botar unha rede a un banco de peixes; mentres que outras formas de phishing son esforzos máis específicos.
Spear phishing é cando un atacante apunta a un individuo específico en lugar de enviar un correo electrónico xenérico a un grupo de persoas.
Os ataques de phishing tentan dirixirse específicamente ao obxectivo e disfrazarse como unha persoa que a vítima pode coñecer.
Estes ataques son máis fáciles para un estafador se ten información de identificación persoal en internet. O atacante pode investigar vostede e a súa rede para elaborar unha mensaxe que sexa relevante e convincente.
Debido á gran cantidade de personalización, os ataques de phishing son moito máis difíciles de identificar en comparación cos ataques de phishing habituais.
Tamén son menos comúns, porque os criminais tardan máis en logralos.
Pregunta: cal é a taxa de éxito dun correo electrónico de spearphishing?
Resposta: os correos electrónicos de spearphishing teñen unha taxa media de apertura de correo electrónico 70% 50% dos destinatarios fai clic nunha ligazón do correo electrónico.
En comparación cos ataques de phishing, os ataques da caza de baleas son drasticamente máis dirixidos.
Os ataques de caza de baleas perseguen a individuos dunha organización como o director executivo ou o director financeiro dunha empresa.
Un dos obxectivos máis comúns dos ataques da caza de baleas é manipular á vítima para que lle envíe grandes cantidades de diñeiro ao atacante.
Do mesmo xeito que o phishing habitual, xa que o ataque ten a forma de correo electrónico, a caza de baleas pode usar logotipos da empresa e enderezos similares para disfrazarse.
Nalgúns casos, o atacante suplantarase ao CEO e usa esa persoa para convencer a outro empregado de que revele datos financeiros ou transfira diñeiro á conta dos atacantes.
Dado que os empregados son menos propensos a rexeitar unha solicitude de alguén superior, estes ataques son moito máis tortuosos.
Os atacantes adoitan dedicar máis tempo a elaborar un ataque de caza de baleas porque tenden a pagar mellor.
O nome "caza de baleas" refírese ao feito de que os obxectivos teñen máis poder financeiro (CEO).
O pescador de pesca é relativamente novo tipo de ataque de phishing e existe nas redes sociais.
Non seguen o formato de correo electrónico tradicional dos ataques de phishing.
Pola contra, disfrázanse de representantes de atención ao cliente das empresas e enganan á xente para que lles envíe información a través de mensaxes directas.
Unha estafa común é enviar persoas a un sitio web de atención ao cliente falso que descargará malware ou noutras palabras ransomware no dispositivo da vítima.
Un ataque vishing é cando un estafador che chama para tentar recompilar información persoal sobre vostede.
Os estafadores adoitan pretender ser unha empresa ou organización respectable como Microsoft, o IRS ou mesmo o seu banco.
Usan tácticas de medo para que revele datos importantes da conta.
Isto permítelles acceder directa ou indirectamente ás súas contas importantes.
Os ataques de vishing son complicados.
Os atacantes poden suplantar facilmente as persoas nas que confías.
Mira ao fundador de Hailbytes, David McHale, falar sobre como as chamadas automáticas desaparecerán coa tecnoloxía futura.
A maioría dos ataques de phishing ocorren a través de correos electrónicos, pero hai formas de identificar a súa lexitimidade.
Cando abres un correo electrónico verifique se procede ou non dun dominio público de correo electrónico (é dicir, @gmail.com).
Se é dun dominio público de correo electrónico, o máis probable é que sexa un ataque de phishing xa que as organizacións non usan dominios públicos.
Pola contra, os seus dominios serían exclusivos da súa empresa (é dicir, o dominio de correo electrónico de Google é @google.com).
Non obstante, hai ataques de phishing máis complicados que usan un dominio único.
É útil facer unha busca rápida na empresa e comprobar a súa lexitimidade.
Os ataques de phishing sempre tentan facerte amigo con un bo saúdo ou empatía.
Por exemplo, no meu correo lixo non hai moito tempo atopei un correo electrónico de phishing co saúdo de "Querido amigo".
Xa sabía que se trataba dun correo electrónico de phishing xa que no asunto dicía: "BOAS NOTICIAS SOBRE OS SEUS FONDOS 21/06/2020".
Ver este tipo de saúdos debería ser unha bandeira vermella instantánea se nunca interactuou con ese contacto.
O contido dun correo electrónico de phishing é moi importante, e verás algunhas características distintivas que conforman a maioría.
Se o contido parece absurdo, o máis probable é que sexa unha estafa.
Por exemplo, se o asunto dicía: "Gañou a lotería $ 1000000" e non recordas participar, é unha bandeira vermella.
Cando o contido crea unha sensación de urxencia como "depende de ti" e leva a facer clic nunha ligazón sospeitosa, o máis probable é que sexa unha estafa.
Os correos electrónicos de phishing sempre teñen un ficheiro ou ligazón sospeitoso adxunto.
Unha boa forma de comprobar se unha ligazón ten virus é usar VirusTotal, un sitio web que comproba ficheiros ou ligazóns en busca de malware.
Exemplo de correo electrónico de phishing:
No exemplo, Google sinala que o correo electrónico pode ser potencialmente perigoso.
Recoñece que o seu contido coincide con outros correos electrónicos similares de phishing.
Se un correo electrónico cumpre coa maioría dos criterios anteriores, recoméndase que o informe a reportphishing@apwg.org ou phishing-report@us-cert.gov para que se bloquee.
Se estás a usar Gmail, hai unha opción para informar do correo electrónico por phishing.
Aínda que os ataques de phishing están dirixidos a usuarios aleatorios, adoitan dirixirse aos empregados dunha empresa.
Non obstante, os atacantes non sempre perseguen o diñeiro dunha empresa senón os seus datos.
En termos de negocio, os datos son moito máis valiosos que o diñeiro e poden afectar gravemente a unha empresa.
Os atacantes poden usar os datos filtrados para influír no público afectando a confianza dos consumidores e manchando o nome da empresa.
Pero non son as únicas consecuencias que poden derivar diso.
Outras consecuencias inclúen o impacto negativo na confianza dos investidores, a interrupción dos negocios e a incitación a multas regulamentarias segundo o Regulamento Xeral de Protección de Datos (GDPR).
Recoméndase formar aos seus empregados para xestionar este problema para reducir o éxito dos ataques de phishing.
As formas de formar aos empregados en xeral son mostrarlles exemplos de correos electrónicos de phishing e as formas de detectalos.
Outra boa forma de mostrar aos empregados o phishing é mediante a simulación.
As simulacións de phishing son basicamente ataques falsos deseñados para axudar aos empregados a recoñecer o phishing de primeira man sen ningún efecto negativo.
Agora compartiremos os pasos que debes seguir para levar a cabo unha campaña de phishing exitosa.
O phishing segue sendo a principal ameaza de seguridade segundo o informe de WIPRO sobre o estado da ciberseguridade 2020.
Unha das mellores formas de recoller datos e educar aos empregados é realizar unha campaña interna de phishing.
Pode ser o suficientemente sinxelo crear un correo electrónico de phishing cunha plataforma de phishing, pero hai moito máis que premer enviar.
Discutaremos como manexar as probas de phishing coas comunicacións internas.
Despois, repasaremos como analizas e usas os datos que recompilas.
Unha campaña de phishing non consiste en castigar ás persoas se caen nunha estafa. Unha simulación de phishing consiste en ensinar aos empregados a responder aos correos electrónicos de phishing. Quere asegurarse de ser transparente sobre a formación de phishing na súa empresa. Prioriza informar aos líderes da empresa sobre a túa campaña de phishing e describe os obxectivos da campaña.
Despois de enviar a túa primeira proba de correo electrónico de phishing de referencia, podes facer un anuncio para toda a empresa a todos os empregados.
Un aspecto importante das comunicacións internas é manter a coherencia da mensaxe. Se estás facendo as túas propias probas de phishing, é unha boa idea crear unha marca inventada para o teu material de formación.
Crear un nome para o teu programa axudará aos empregados a recoñecer o teu contido educativo na súa caixa de entrada.
Se estás a usar un servizo de proba de phishing xestionado, é probable que teñan isto cuberto. O contido educativo debe producirse con antelación para que poida ter un seguimento inmediato despois da súa campaña.
Dea aos seus empregados instrucións e información sobre o seu protocolo interno de correo electrónico de phishing despois da súa proba de referencia.
Queres dar aos teus compañeiros de traballo a oportunidade de responder correctamente á formación.
Ver o número de persoas que detectan e informan correctamente o correo electrónico é unha información importante para obter coa proba de phishing.
Cal debe ser a túa principal prioridade para a túa campaña?
Compromiso.
Podes tentar basear os teus resultados no número de éxitos e fracasos, pero eses números non necesariamente che axudan co teu propósito.
Se realizas unha simulación de proba de phishing e ninguén fai clic na ligazón, significa que a proba foi satisfactoria?
A resposta curta é "non".
Ter unha taxa de éxito do 100% non se traduce como un éxito.
Pode significar que a túa proba de phishing foi demasiado fácil de detectar.
Por outra banda, se obtén unha taxa de fracaso tremenda coa súa proba de phishing, podería significar algo completamente diferente.
Podería significar que os teus empregados aínda non poden detectar ataques de phishing.
Cando obtén unha alta taxa de clics para a túa campaña, hai moitas posibilidades de que teñas que reducir a dificultade dos teus correos electrónicos de phishing.
Tómese máis tempo para formar persoas no seu nivel actual.
En última instancia, queres diminuír a taxa de clics nas ligazóns de phishing.
Podes estar a preguntar cal é unha taxa de clics boa ou mala cunha simulación de phishing.
Segundo sans.org, o teu a primeira simulación de phishing pode producir unha taxa de clics media do 25-30 %.
Parece un número moi alto.
Por sorte, informaron diso despois de 9-18 meses de adestramento sobre phishing, a taxa de clics para unha proba de phishing foi por debaixo do 5%.
Estes números poden servir como unha estimación aproximada dos resultados desexados do adestramento de phishing.
Para iniciar a túa primeira simulación de correo electrónico de phishing, asegúrate de incluír na lista branca o enderezo IP da ferramenta de proba.
Isto garante que os empregados recibirán o correo electrónico.
Ao crear o teu primeiro correo electrónico simulado de phishing, non o fagas demasiado fácil nin demasiado difícil.
Tamén debes lembrar ao teu público.
Se os teus compañeiros de traballo non son grandes usuarios das redes sociais, probablemente non sería unha boa idea usar un correo electrónico de phishing falso para restablecer o contrasinal de LinkedIn. O correo electrónico do probador ten que ter un atractivo suficientemente amplo para que todos na túa empresa teñan un motivo para facer clic.
Algúns exemplos de correos electrónicos de phishing con amplo atractivo poden ser:
Só lembra a psicoloxía de como a túa audiencia tomará a mensaxe antes de premer en enviar.
Continúa enviando correos electrónicos de formación sobre phishing aos teus empregados. Asegúrate de ir aumentando lentamente a dificultade co paso do tempo para aumentar os niveis de habilidade das persoas.
Recoméndase facer envíos de correo electrónico mensuais. Se "suplantas" a túa organización con demasiada frecuencia, é probable que se enganche demasiado rápido.
Captar aos teus empregados un pouco desprevenidos é a mellor forma de obter resultados máis realistas.
Se envías o mesmo tipo de correos electrónicos de "phishing" cada vez, non lles ensinarás aos teus empregados a reaccionar ante diferentes estafas.
Podes probar varios ángulos diferentes, incluíndo:
Mentres envías novas campañas, asegúrate sempre de axustar a relevancia da mensaxe para o teu público.
Se envía un correo electrónico de phishing que non está relacionado con algo de interese, é posible que non reciba moita resposta da súa campaña.
Despois de enviar diferentes campañas aos teus empregados, actualiza algunhas das campañas antigas que enganaron á xente a primeira vez e fai unha nova volta a esa campaña.
Poderás dicir a eficacia do teu adestramento se ves que a xente está aprendendo e mellorando.
A partir de aí poderás saber se necesitan máis educación sobre como detectar un determinado tipo de correo electrónico de phishing.
Hai 3 factores para determinar se vas crear o teu propio programa de adestramento en phishing ou subcontratar o programa.
Se es enxeñeiro de seguridade ou tes un na túa empresa, podes xerar facilmente un servidor de phishing usando unha plataforma de phishing preexistente para crear as túas campañas.
Se non tes ningún enxeñeiro de seguridade, pode estar fóra de cuestión crear o teu propio programa de phishing.
Podes ter un enxeñeiro de seguridade na túa organización, pero é posible que non teña experiencia con probas de enxeñería social ou phishing.
Se tes alguén con experiencia, sería o suficientemente fiable como para crear o seu propio programa de phishing.
Este é un factor moi importante para as pequenas e medianas empresas.
Se o teu equipo é pequeno, pode que non sexa conveniente engadir outra tarefa ao teu equipo de seguranza.
É moito máis cómodo que outro equipo experimentado faga o traballo por ti.
Consultaches toda esta guía para descubrir como podes formar aos teus empregados e xa estás preparado para comezar a protexer a túa organización mediante a formación de phishing.
Agora qué?
Se es enxeñeiro de seguridade e queres comezar a realizar as túas primeiras campañas de phishing agora, vai aquí para obter máis información sobre unha ferramenta de simulación de phishing que podes usar para comezar hoxe.
Ou ...
Se estás interesado en coñecer os servizos xestionados para realizar campañas de phishing para ti, Obtén máis información aquí mesmo sobre como podes comezar a túa proba gratuíta do adestramento sobre phishing.
Use a lista de verificación para identificar correos electrónicos pouco habituais e, se son phishing, informe deles.
Aínda que hai filtros de phishing que poden protexelo, non é o 100%.
Os correos electrónicos de phishing están en constante evolución e nunca son os mesmos.
Para protexe a túa empresa de ataques de phishing nos que podes participar simulacións de phishing para reducir as posibilidades de ataques de phishing exitosos.
Agardamos que aprendades o suficiente desta guía para descubrir o que cómpre facer para diminuír as posibilidades de sufrir un ataque de phishing na súa empresa.
Deixa un comentario se tes algunha dúbida para nós ou se queres compartir algún dos teus coñecementos ou experiencias coas campañas de phishing.
Non esquezas compartir esta guía e difundir!
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Teléfono: (732) 771-9995
Correo electrónico: info@hailbytes.com
