Nueva herramienta ayuda a las empresas a evaluar por qué los empleados hacen clic en correos electrónicos de phishing


La herramienta de NIST puede ayudar a las organizaciones a mejorar las pruebas de la destreza de detección de phishing de sus empleados

Investigadores del Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) han ideado un nuevo método que podría usarse para evaluar con precisión por qué los empleados hacen clic en ciertos correos electrónicos de phishing. La herramienta, apodada Escala de phish, utiliza datos reales para evaluar la complejidad y la calidad de los ataques de phishing para ayudar a las organizaciones a comprender dónde se encuentran sus vulnerabilidades (humanas).

A continuación, se ofrece un repaso rápido: en su forma más uncomplicated, suplantación de identidad es un correo electrónico no solicitado o cualquier otra forma de comunicación electrónica donde los ciberdelincuentes se hacen pasar por una organización confiable e intentan robar sus datos. La información, como las credenciales de acceso, se puede abusar para realizar más ataques o venderse en la internet oscura y utilizarse para cometer fraude o robo de identidad.

Por lo tanto, cualquier empresa u organización que se tome en serio su ciberseguridad realiza periódicamente ejercicios de formación sobre phishing para ver si sus empleados pueden distinguir entre correos electrónicos reales y de phishing. Estas capacitaciones tienen como objetivo aumentar la vigilancia de los empleados y enseñarles para detectar signos de ataques de phishing disfrazados de correos electrónicos legítimos, lo que a su vez evita que se enganchen y protege a sus organizaciones de daños monetarios y de reputación.

LECTURA RELACIONADA: ¿Te engancharía una estafa de phishing? Pruébate

Estos ejercicios suelen ser supervisados ​​por los directores de seguridad de la información (CISO), que evalúan el éxito o el fracaso de estos ejercicios en función de las tasas de clics: la frecuencia con la que los empleados hacen clic en un correo electrónico de phishing. Sin embargo, los resultados no son emblemáticos de todo el problema.

«La escala de phish tiene como objetivo ayudar a proporcionar una comprensión más profunda de si un correo electrónico de phishing en certain es más difícil o más fácil de detectar para una audiencia objetivo en certain», dijo la investigadora del NIST, Michelle Steves en el presione soltar anunciando la nueva herramienta.

Phish Scale analiza dos elementos principales al evaluar qué tan difícil es detectar un correo electrónico de phishing potencial. La primera variable que evalúa la herramienta son las «señales de correo electrónico de phishing»: signos observables, como errores ortográficos, el uso de direcciones de correo electrónico personales en lugar de los correos electrónicos del trabajo o el uso de técnicas que presionan el tiempo.

Mientras tanto, la segunda «alineación del contexto del correo electrónico con el usuario» aprovecha un sistema de clasificación para evaluar si el contexto es relevante para el objetivo cuanto más relevante es, más difícil se vuelve identificarlo como un correo electrónico de phishing. Basándose en una combinación de estos factores, Phishing Scale clasifica la dificultad de detectar el phishing en tres categorías: mínima, moderada y muy difícil.

Estos pueden proporcionar información valiosa sobre los ataques de phishing en sí mismos, así como ayudar a determinar por qué es más o menos probable que las personas hagan clic en estos correos electrónicos.

LECTURA RELACIONADA: Esta prueba le dirá la probabilidad de que sea víctima de un fraude

Phish Scale tiene como objetivo proporcionar a los CISO una mejor comprensión de sus datos de tasa de clics, por lo que no se basan únicamente en la salida de números. “Una tasa de clics baja para un correo electrónico de phishing en certain puede tener varias causas: los correos electrónicos de capacitación sobre phishing son demasiado fáciles o no brindan un contexto relevante para el usuario, o el correo electrónico de phishing es equivalent a un ejercicio anterior. Datos como este pueden crear una falsa sensación de seguridad si las tasas de clics se analizan por sí mismas sin comprender la dificultad del correo electrónico de phishing «, dijo NIST.

Si bien todos los datos que se enviaron a la escala Phish se han originado en NIST, el instituto espera probar la herramienta en otras organizaciones y empresas para ver si funciona a la altura del estándar. Para obtener más información sobre la herramienta y la investigación detrás de ella, puede profundizar en el artículo, Categorización de la dificultad del phishing humano: una escala de phish, publicado por las investigadoras Michelle Steves, Kristen Greene y Mary Theofanos.





Enlace a la noticia primary