Por qué los humanos son el eslabón más débil del phishing



Y no es solo porque hacen clic cuando no deberían … también dejan un rastro de pistas y detalles que los hacen fáciles de engañar

Visualize este escenario compuesto, extraído de experiencias de clientes de la vida actual: Laura es la directora financiera de SoBank y recibe un correo electrónico urgente de Tom, un socio de Dorling Clayton, el bufete de abogados externo de SoBank.

El correo electrónico provenía de la dirección de Dorling Clayton de Tom y muestra una foto de él junto a su nombre en la pantalla del remitente. El correo electrónico dice:

Hola Laura,

Disculpe la naturaleza rápida de este mensaje: estoy en Finance2020 y estoy a punto de hablar en el escenario. Pero acabo de recibir una llamada frenética de uno de nuestros socios principales diciendo que algunos de los gastos de SoBank el último trimestre no fueron pagados.

¿Puede asegurarse de pagar $ 11,522 en la siguiente cuenta lo antes posible?

Cuenta no: 12345678
Código de orden: 00-00-02

¿Podría hacer esto lo antes posible para evitar pagos atrasados?

Gracias,

Tom

Laura entra en pánico. ¿Cómo podrían no haberse pagado los gastos? Ella cree que debe haber cometido un error y le preocupa que su compañía sea penalizada si el pago se demora aún más. Laura transfiere el dinero a la cuenta. No es hasta la mañana siguiente que descubre que envió $ 11,522 a un pirata informático, pero en ese momento es demasiado tarde.

Anatomía de un ataque de Spear-Phishing
Según el FBI, $ 26 mil millones se han perdido a los ataques de compromiso de correo electrónico empresarial como este desde 2016. ¿Cómo se puede comprometer tanto dinero solo por correo electrónico? La verdad es que es más fácil de lo que muchos de nosotros nos damos cuenta. Un vistazo rápido a cómo un hacker pudo engañar a Laura puede decirnos dónde se encuentran las vulnerabilidades clave.

Cada ataque de phishing consiste en un objetivo, como Laura alguien que está siendo suplantado, en este caso, Tom y un atacante que orquesta todo detrás de escena. Es increíblemente fácil para los atacantes utilizar información pública y redes sociales para hacer que sus suplantaciones sean lo más creíbles posible.

En este caso, el atacante puede encontrar un comunicado de prensa anunciando el trabajo de Dorling Clayton con SoBank en una empresa conjunta con otra compañía. A partir de ahí, pueden rastrear a Laura y Tom en LinkedIn y en los sitios net de sus empresas, que también proporciona una foto de Tom para usar en la suplantación de correo electrónico. Una mirada rápida al perfil de Tom en Twitter también revela una publicación sobre su próxima charla en Finance2020, que incluye la fecha y la hora, lo que agregará credibilidad al mensaje. La próxima charla agrega un sentido de urgencia al correo electrónico, una técnica probada para lograr que el objetivo tome medidas.

Falsificar la dirección de correo electrónico de Tom también es relativamente fácil de hacer para el hacker. DMARC es una técnica de autenticación de correo electrónico que verifica quién tiene permiso para enviar correos electrónicos en nombre de un dominio. La cuestión es que no muchas empresas tienen DMARC en su lugar. Se estima que El 80% de los dominios internet de la empresa no utilizan autenticación de correo electrónico. Todo lo que el atacante tiene que hacer es verificar si Dorling Clayton tiene DMARC o no. Y afortunadamente para ellos, la empresa no.

Esto significa que el hacker puede enviar un correo electrónico desde dorlingclayton.com y las herramientas de seguridad heredadas no podrán detectarlo. Los sistemas heredados también solo buscan la suplantación de nombres de personas dentro de la propia organización de una empresa, lo que se puede eludir mediante la suplantación de un contacto externo.

Los humanos son nuestra capa de seguridad más susceptible
Según Symantec, se intentan 135 millones de ataques de phishing todos los días, y cuando tienen éxito, pueden ser devastadores para una empresa y pueden poner en riesgo tanto el dinero como la información confidencial. Hoy, por ejemplo, el costo promedio de una violación de datos es de alrededor $ 3.92 millones en los EE.UU.

Una parte importante del problema es que las empresas se han centrado principalmente en proteger las máquinas, pero han descuidado un elemento esencial: las personas que las utilizan. La gente ahora gasta 28% de su tiempo leer y responder correos electrónicos cada día laboral. Es su principal canal de comunicación, pero también es una de las plataformas más riesgosas en los negocios. En el correo electrónico, las personas pueden ser engañadas para hacer transferencias electrónicas fraudulentas como Laura, o pueden enviar accidentalmente información altamente confidencial o confidencial a la persona equivocada.

Las personas cometen errores, rompen las reglas y pueden ser pirateadas, por lo que proteger a las personas es mucho más difícil que proteger las máquinas. Específicamente, no hay dos humanos iguales. Tomamos decisiones basadas en factores psicológicos. Nuestras conexiones y relaciones son complejas, cambian con el tiempo y nos comunicamos en una variedad de formas complicadas y dinámicas. Esto significa que no podemos proteger a las personas con la misma lógica «si-esto-entonces-eso» utilizada para proteger las máquinas de amenazas maliciosas.

Por lo tanto, las empresas necesitan una nueva forma de pensar para proteger a las personas y la forma en que interactúan con las redes, dispositivos y bases de datos. Asegurar la capa humana requiere tecnología avanzada que pueda comprender el comportamiento humano y las relaciones en línea para detectar y prevenir incidentes de error humano en el momento o bloquear amenazas en tiempo actual, sin interrumpir la productividad de las personas. Los líderes de seguridad deben considerar cómo aplicar el mismo nivel de tecnología y recursos avanzados para proteger a los humanos que para proteger al resto de la empresa.

Contenido relacionado:

Tim es el Director Ejecutivo y cofundador de la empresa de seguridad de la capa humana Tessian. Después de una carrera en banca de inversión, Tim y sus cofundadores comenzaron Tessian en 2013, creando una solución de ciberseguridad que utiliza el aprendizaje automático para proteger a las personas de los riesgos en el correo electrónico … Ver biografía completa

Más suggestions





Enlace a la noticia original