Seguridad Integral

5 consejos para evitar ataques de spear-phishing

Brenda Facundo


Posted in Seguridad emailing, Seguridad Informática on Aug 12, 2020

La palabra "Burisma" está en todas las noticias en este momento: es una empresa de energía de Ucrania que, según algunas afirmaciones, fue asaltada por piratas informáticos rusos que buscaban datos confidenciales para robar.

Como puedes imaginar, se supone que la forma en que los hackers entraron fue mediante ataques de phishing.

El phishing, definido muy brevemente, es cuando un ciberdelincuente lo engaña para que revele algo electrónicamente que debería haberse guardado para usted.

La buena noticia es que la mayoría de nosotros hemos aprendido a detectar ataques de phishing obvios en estos días.

La mala noticia es que no puede detectar de manera confiable los ataques de phishing con solo estar atento a los errores obvios o confiando en que los delincuentes digan "Estimado cliente" en lugar de usar su nombre.

Debe tener cuidado con el phishing dirigido, a menudo llamado spear-phishing , donde los delincuentes hacen un esfuerzo genuino para adaptar cada correo electrónico de phishing, por ejemplo, personalizándolo tanto para usted como para su empresa.
 
El spear-phishing, donde los correos electrónicos falsos son realmente creíbles, no es solo un problema para víctimas de alto perfil como los Burismas del mundo.
Adquirir los datos específicos necesarios para generar correos electrónicos de phishing personalizados es más fácil de lo que cree, y gran parte de la recopilación de datos se puede automatizar.

Consejos para ti

Así que aquí están nuestros 5 consejos para lidiar con los ataques de phishing, especialmente si se enfrenta a un delincuente que está dispuesto a dedicar tiempo y esfuerzo para ganarse su confianza en lugar de simplemente golpearlo con esos correos electrónicos de "Estimado cliente":

1. NO DUDE SÓLO PORQUE UN CORRESPONSAL PARECE SABER MUCHO SOBRE USTED

Alguien que nunca te ha conocido, y que nunca lo hará, puede sin embargo proyectarse fácilmente como un "conocedor": un amigo de un amigo, tal vez, o un colega con el que has trabajado electrónicamente pero que nunca te has encontrado cara a cara. .
Con una combinación de información recopilada de violaciones de datos que ya son públicas, perfiles de redes sociales y correos electrónicos históricos que envió o recibió, incluso un delincuente con fondos modestos y sin mucha experiencia técnica puede sonar mucho más convincente que "Estimado cliente".

2. NO SE APRESE A ENVIAR DATOS SOLO PORQUE LA OTRA PERSONA LE DICE QUE ES URGENTE

Muchas estafas por correo electrónico funcionan porque el delincuente se gana su confianza o le hace pensar que es alguien que ocupa un lugar destacado en el organigrama de su propia empresa, y luego enfatiza lo urgente que es la tarea que le acaba de encomendar.
A menudo, también recurrirán a los halagos al explicar por qué le preguntan a usted y no a nadie más, y le dejarán claro que la tarea es confidencial y, por lo tanto, no debe discutirla con nadie más. Nunca trate como prudente que la otra persona esté exigiendo un secreto total, trátelo como sospechoso.

3. NO CONFÍE EN LOS DETALLES PROPORCIONADOS POR EL REMITENTE CUANDO LOS CONSULTE

Uno pensaría que los estafadores se esforzarían mucho para disuadirlo de que los controle, pero a veces no solo lo agradecerán, sino que lo instarán activamente a que los llame o les envíe un mensaje, o visite su sitio web, como parte de la estafa.

Si les devuelve la llamada al número de teléfono que le dieron, o les envía un mensaje a través del sitio web que proporcionaron, simplemente les está ofreciendo una oportunidad para que le digan las mismas mentiras que quieren que escuche.

(Es por eso que las instituciones financieras imprimen sus números de contacto de emergencia en el reverso de su tarjeta bancaria y los colocan en las pantallas de bienvenida de sus cajeros automáticos; esas fuentes son mucho más difíciles de manipular para los delincuentes).

4. NO SIGA LAS INSTRUCCIONES SOBRE CÓMO VER UN CORREO ELECTRÓNICO
QUE APARECE DENTRO DEL CORREO ELECTRÓNICO MISMO

Una artimaña común es que los delincuentes oculten contenido malicioso, como un software de robo de datos llamado macros, dentro de archivos de documentos de apariencia inocente, y luego introduzcan el "documento" con instrucciones sobre cómo verlo "correctamente" cambiando varias configuraciones de seguridad.

Por lo general, las instrucciones suenan bastante plausibles, pero los delincuentes lo están engañando para que desactive las funciones de seguridad que lo mantendrían a salvo.

5. NO TENGA MIEDO DE OBTENER UNA SEGUNDA OPINIÓN

Si alguna vez le pidió a sus colegas que corrigieran sus documentos o correos electrónicos, a menudo habrán encontrado errores que usted no puede creer que se haya perdido.

Eso es porque una segunda opinión es muy útil.

De hecho, esa es la razón principal por la que los delincuentes te instan a que no le digas a nadie lo que estás haciendo, para evitar que obtengas una segunda opinión y, por lo tanto, los descubras.

Consejos para TI también

Mientras lo hacemos, aquí hay tres consejos adicionales para el personal de TI y los administradores de sistemas:

1. CONFIGURE UN ÚNICO PUNTO DE CONTACTO PARA QUE EL PERSONAL INFORME PROBLEMAS DE CIBERSEGURIDAD

La mayoría de los ataques de spear-phishing funcionan no porque el personal quiera hacer lo incorrecto, sino porque está dispuesto a hacer lo correcto y, al mismo tiempo, ayudar al brindar un excelente servicio al cliente para todos.

Nadie quiere arriesgarse a ser recordado como "el ex colega que fue despedido por decirle a nuestro cliente más importante que hiciera una caminata".

Al proporcionar un punto de notificación, como una dirección interna security-report@example.org, facilita que sus usuarios soliciten consejos de seguridad antes de asumir riesgos, en lugar de hacerlo después.

Lo único peor que ser estafado por un correo electrónico de spear-phishing es descubrir que la persona que se enamoró de él no fue la primera en la empresa en encontrarlo y que con un sistema de alerta temprana habrías evitado el ataque. en total.

2. HAGA DE LA CIBERSEGURIDAD UNA CALLE DE DOS VÍAS ¡ESCUCHE A SUS USUARIOS!

En las décadas de 1990 y 2000, la ciberseguridad a menudo se basaba en la idea de que "TI sabe más y establecerá todas las reglas, sin excepciones".

Pero este enfoque tiende a crear una cultura en la que se asume ciegamente que todo lo que no está bloqueado es seguro.

Incluso los sitios web legítimos y de alto tráfico a veces son pirateados, y si uno de sus usuarios es la primera persona en darse cuenta, quiere que se lo diga, que no se encoja de hombros e ignore el problema.

3. CONSIDERE LAS SIMULACIONES DE PHISHING

Los productos como Sophos Phish Threat pueden exponer a sus usuarios al tipo de trucos que utilizan los phishers, pero con seguridad, de modo que si caen en la trampa, no se produce ningún daño real.

Siempre que dejes en claro que tus pruebas de phishing están ahí para ayudar a los usuarios a aprender, no para vigilarlos simplemente para descubrirlos, entonces todos se benefician.

Después de todo, es probable que parte de su personal ya esté recibiendo docenas de correos electrónicos de phishing y spear-phising en el mundo real todos los meses, por lo que incluso si no está probando a sus usuarios, ¡Los delincuentes ciertamente lo están haciendo!

Conoce los beneficios que te brinda Sophos Phish Threat.


Déjanos un comentario: