Torneo de suplantación de identidad descubre que los empleados son víctimas de correos electrónicos maliciosos


El Torneo de suplantación de identidad ha probado la susceptibilidad de las personas a abrir correos electrónicos fraudulentos e ingresar su información de inicio de sesión.

Cómo el phishing sofisticado otorga a los atacantes el control total de su computadora
El phishing tiene que ver con el tipo malo y engañar a la víctima, dice Kevin Mitnick, fundador de Mitnick Security Consulting. Mitnick sabe de los malos, solía ser uno.

La mayoría de nosotros tenemos bandejas de entrada digitales apiladas hasta el borde con correos electrónicos no leídos y pueden pasar días enteros poniéndose al día con los mensajes, por lo que no es de extrañar que los piratas informáticos utilicen cada vez más nuestra falta de tiempo en nuestra contra. En septiembre, el FBI publicó un informe que encontró víctimas de
phishing o fraude por correo electrónico
entre 2016 y 2019 perdió un estimado de $ 26 mil millones en todo el mundo, y los números continúan aumentando.

Para preparar a las organizaciones para un ataque, TerraNova Security celebró el Torneo de suplantación de identidad durante cinco días en octubre, evaluando a personas de empresas en 76 países y 27 idiomas sobre la probabilidad de abrir un correo electrónico malicioso e ingresar su información en un sitio web peligroso.

Si bien los números variaron según el país y la industria, los resultados generales mostraron que el 11%
de todos los destinatarios hicieron clic en el enlace de phishing y solo el 2% de los destinatarios presentaron sus credenciales en el sitio web de phishing.

"Los empleados de las organizaciones que participaron en el Torneo de suplantación de identidad de octubre de 2019 recibieron correos electrónicos que simulaban ataques de suplantación de identidad exitosos conocidos en el mundo real. Estos correos electrónicos se enviaron en el idioma nativo de los empleados y utilizaron tácticas de suplantación de identidad conocidas para medir la tasa de clics de los empleados. El objetivo de este global la simulación de phishing era medir y evaluar la tasa de detección de phishing de los empleados ", dijo el informe.

"Utilizando la misma plantilla de suplantación de identidad (phishing) localizada según el idioma y el entorno local de los empleados, medimos la frecuencia con la que los empleados hicieron clic en el enlace incluido y enviaron sus credenciales. El Torneo de suplantación de identidad ha revelado que incluso dentro de las organizaciones que tienen programas de capacitación sobre conciencia de seguridad, los empleados aún son rápidos hacer clic en los correos electrónicos y enviar sus credenciales ", decía el informe.

VER: Informe especial: una estrategia ganadora para la ciberseguridad (PDF gratuito) (TechRepublic Premium)

Según los resultados del torneo, cinco industrias principales tenían tasas de clics superiores a los promedios. La energía, la construcción, la fabricación y el comercio minorista tuvieron tasas de clics más altas de lo normal, además de las empresas del sector público.

Los investigadores de TerraNova Security afirmaron que estas industrias fueron las que más sufrieron porque tenían la menor exposición previa a los desafíos tecnológicos y todavía estaban en el proceso de migrar hacia ecosistemas totalmente digitales que requerían un nuevo nivel de conciencia de seguridad de todos en una empresa.

Las organizaciones más pequeñas tienen más probabilidades de sufrir un ataque de phishing exitoso más que las empresas más grandes que tienen departamentos de TI sofisticados que protegen a los empleados a través de una mejor capacitación en seguridad, conciencia de seguridad y simulaciones de phishing.

Independientemente de la postura de seguridad de una empresa, los riesgos de un ataque de phishing exitoso siguen siendo altos debido a cuántas organizaciones tienen que lidiar con proveedores y socios más pequeños que comparten información o sistemas.

El estudio encontró que los participantes en América del Norte y América del Sur tenían más probabilidades que los de cualquier otra región de enviar sus credenciales después de hacer clic en el enlace malicioso.

De las organizaciones que participaron en el torneo, solo el 25% de las organizaciones solo tenían un programa de capacitación en concientización de seguridad, el 40% de las empresas utilizaron programas de simulación de phishing y capacitación en concientización de seguridad, mientras que el 32% no tenía ninguno implementado.

"Es difícil para las personas internalizar los impactos de hacer clic en un enlace malicioso o enviar un formulario de phishing. Las personas necesitan experiencia de primera mano sobre los impactos de hacer clic en enlaces, descargar archivos adjuntos, proporcionar información confidencial y enviar formularios para comprender realmente cómo y por qué la conciencia de phishing es crítica ", agregó el informe.

El estudio incluyó sugerencias de cosas que las empresas pueden hacer para preparar a sus empleados para este tipo de campañas de ataque que van más allá de las simulaciones de phishing. Todos los empleados deben saber con precisión qué hacer si detectan un intento de phishing y deben saber que cuentan con el apoyo total de la organización en caso de que su cuenta sea violada.

Si el intento de phishing ha sido exitoso, las empresas deben explicar cómo sucedió, cómo se falsificó la dirección de correo electrónico o por qué el archivo adjunto era sospechoso. Debería haber carteles o boletines informativos por correo electrónico que recuerden a los empleados que deben conocer los correos electrónicos que abren y dejar en claro que se debe informar cualquier cosa sospechosa.

A los empleados también se les debe recordar la gravedad financiera y de reputación del delito cibernético, así como el daño que puede agravarse al ocultar los errores. Las organizaciones siempre deben tener un proceso de notificación de incidentes y un plan de respuesta detallado que brinde a los equipos de seguridad información sobre cuántas personas recibieron el mensaje, cuántas personas hicieron clic en el enlace y cuántos empleados enviaron su información.

"Es hora de que las organizaciones hagan que la capacitación en concientización de seguridad y las simulaciones de phishing sean una prioridad real. No es suficiente para las organizaciones celebrar un almuerzo y aprender una sola vez sobre correos electrónicos de phishing o centrarse solo en los riesgos de seguridad cibernética durante la incorporación de los empleados, "decía el informe.

"Abrir enlaces maliciosos puede provocar infecciones en la computadora y la red con virus u otro malware e informa al cibercriminal que su mensaje fue leído y hecho clic, confirmando que la dirección de correo electrónico es válida y que es probable que el destinatario haga clic en futuros correos electrónicos de phishing".

Ver también

<a href = "https://tr3.cbsistatic.com/hub/i/r/2020/02/03/7db354c8-433c-42ee-adc3-2ccef617a356/resize/770x/89a23ecbc76f78f57aa2cf7e19c985e7/cybersecurity-gettyimages.jpg121212 "target =" _ blank "data-component =" modalEnlargeImage "data-headline ="

"data-credit =" Imagen: Andriy Onufriyenko / Getty Images "rel =" noopener noreferrer nofollow ">Seguridad de datos

Imagen: Andriy Onufriyenko / Getty Images



Enlace a la noticia original