La pérdida de datos es el resultado número uno de una campaña de phishing fructífera, pero los ataques de ransomware y los compromisos de cuentas también pueden amenazar a su organización, dice Proofpoint.
Imagen: iStock / OrnRin
Los ataques de phishing parecen una táctica relativamente straightforward por parte de los ciberdelincuentes. Configure una página internet de phishing, cree su correo electrónico de phishing, envíe el correo electrónico a destinatarios específicos y luego espere a que lleguen esas credenciales de cuenta robadas y otra información comprometida.
En el extremo receptor, una campaña de phishing exitosa puede dañar a una organización en más de un sentido. Un informe publicado el domingo por el proveedor de seguridad Proofpoint analiza el impacto de un ataque de phishing y ofrece consejos sobre cómo combatirlo.
Por su «Informe sobre el estado del phish de 2021, «Proofpoint recopiló datos de varias fuentes:
- Una encuesta de terceros a 3.500 adultos que trabajan en los EE. UU., Reino Unido, Australia, Francia, Alemania, Japón y España
- una encuesta de terceros a 600 profesionales de TI en los mismos países
- más de 60 millones de ataques de phishing simulados implementados por clientes de Proofpoint para capacitación interna y
- más de 15 millones de correos electrónicos de phishing reportados por usuarios finales.
2020 vio un ligero aumento en los ataques de phishing entre los clientes de Proofpoint. Alrededor del 57% dijo que su organización se vio afectada por un ataque exitoso el año pasado, en comparación con el 55% en 2019. Más del 75% de los encuestados dijeron que enfrentaron ataques de phishing de amplia base, tanto exitosos como fracasados, en 2020. En este enfoque, los ciberdelincuentes proyectan una pink menos dirigida pero más amplia con la esperanza de comprometer a la mayor cantidad de personas posible.
VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)
Sin embargo, las campañas más específicas también representaron una amenaza el año pasado. Entre los encuestados, el 66% vio más ataques de phishing dirigidos el año pasado, mientras que el 65% se vio afectado por más intentos de Business E mail Compromise (BEC).
Los ataques dirigidos llegan a menos personas, pero son más enfocados y sofisticados y es menos possible que sean atrapados por las defensas de seguridad. Al investigar personas o roles específicos dentro de una organización, los ciberdelincuentes pueden implementar ataques de spearphishing y campañas BEC, así como ataques balleneros, que se dirigen a directores ejecutivos u otras personas de alto rango.
Un ataque de phishing exitoso puede afectar a una organización de varias maneras. La pérdida de datos fue el mayor efecto secundario, citado por un promedio del 60% entre los encuestados. Cuentas o credenciales comprometidas fue el segundo mayor efecto, mencionado por el 52% de los encuestados. Los resultados adicionales de un ataque de phishing incluyeron infecciones de ransomware según lo citado por un 47%, otras infecciones de malware en un 29% y pérdidas financieras o fraude por transferencia bancaria en un 18%.
Imagen: Proofpoint
Más allá de los ataques de phishing basados en correo electrónico, a los ciberdelincuentes les gusta emplear otras tácticas. Algunos usan las redes sociales, algunos usan mensajes de texto y algunos usan correo de voz. El año pasado, el 61% de los encuestados se vieron afectados por ataques a las redes sociales, el 61% por sonriendo (Phishing por SMS) y 54% por vishing (phishing de voz).
Por supuesto, la pandemia de coronavirus creó el terreno para los ataques de phishing. Millones de correos electrónicos relacionados con la pandemia fueron bloqueados por Proofpoint solo el año pasado. Aunque el número de estos ataques ha disminuido desde que alcanzó su punto máximo en abril y marzo de 2020, los delincuentes continúan explotando el virus centrándose en eventos más recientes, como la financiación de estímulos y el lanzamiento de la vacuna.
Los correos electrónicos de phishing simulados enviados a los empleados por su organización utilizaron temas como «Especialista en Singapur: Medidas de seguridad contra el coronavirus», «Visita al healthcare facility COVID-19», «Advertencia del FBI !!! Estafas de coronavirus» y «El COVID-19 infectó a nuestro personalized». » En algunos casos, la tasa de fallas se acercó al 100%, lo que significa que casi todos los empleados no las detectaron como estafas de phishing. Para las plantillas relacionadas con COVID de uso más frecuente, las tasas de falla fueron mucho más bajas, desde menos del 1% hasta poco más del 20%.
Para ayudar a su organización y a sus empleados a frustrar las campañas de phishing, Proofpoint ofrece una variedad de sugerencias:
Eleve a los usuarios al estado de partes interesadas
- No dé por sentado que los usuarios comprenden la jerga de la ciberseguridad. Si no reconocen la terminología que united states, corre el riesgo de una desconexión desde el principio.
- Hágalo personal para los usuarios. La ciberseguridad no es solo una «cosa de trabajo» y los usuarios deben entenderlo. Ayúdelos a ver el valor basic de mejorar su conocimiento de la seguridad, en el trabajo y en el hogar.
- Sea claro acerca de las expectativas y comuníquese regularmente con los usuarios. Deben conocer los objetivos de su programa y las actividades planificadas. Obviamente, esto no se aplica al momento exacto de las pruebas de phishing.
- Haga que los usuarios se sientan empoderados. A menudo son lo único que se interpone entre el éxito o el fracaso de un atacante. Brinde a sus usuarios las herramientas que necesitan y enséñeles cómo usarlas.
- Brinde a los usuarios un espacio seguro para aprender, cometer errores, practicar y aprender un poco más. Si cree que debe utilizar un modelo de consecuencias, primero dé a los empleados la oportunidad de aprender cómo evitar los comportamientos por los que podrían ser castigados.
- Explique cómo un mejor comportamiento de los empleados mejora la seguridad de la organización. En la mayoría de los casos, los negativos ya son claros y se centra en lo que los usuarios están haciendo mal en lugar de en lo que están haciendo bien. Cambie la conversación y brinde a los usuarios la oportunidad de enfocarse en los aspectos constructivos de aprender sobre ciberseguridad. Deben saber claramente qué es lo que busca de ellos y por qué les pide que hagan de la seguridad una prioridad.
Mantenga los datos de referencia en perspectiva
Los puntos de datos de referencia sobre el promedio de fallas y las tasas de informes son útiles desde una perspectiva comparativa. Si se está quedando atrás de los promedios, eso no significa que su organización esté «fallando». De la misma manera, si está por delante, eso no significa que pueda relajarse.
Combine la inteligencia de amenazas y la capacitación en conciencia de seguridad
Casi todas las organizaciones encuestadas para el informe utilizan inteligencia de amenazas para informar sus decisiones de capacitación hay margen de mejora. Para aprovechar la inteligencia de amenazas, las organizaciones deben capacitar a los usuarios sobre temas relacionados con ataques conocidos en la organización, crear pruebas de phishing que imiten las amenazas de tendencia y brindar capacitación específica a las personas que están siendo blanco de ciertos tipos de ataques.
Correlacionar las actividades de sensibilización y formación con otras funciones de seguridad.
Los programas de formación de conciencia de seguridad a menudo funcionan de forma independiente de otros programas de seguridad. Idealmente, todas las funciones de seguridad relacionadas con el usuario deberían cruzarse e informar. Considere vincular el entrenamiento de contraseñas a métricas como la cantidad de solicitudes de restablecimiento de contraseña o la cantidad de veces que un usuario necesita crear una nueva contraseña cuando se le solicite. Analice el seguimiento de las violaciones de prevención de pérdida de datos junto con las actividades de capacitación en seguridad de datos.
Tales esfuerzos pueden crear un enfoque de seguridad más orientado a resultados, mostrar a los usuarios cómo su comportamiento tiene un impacto en la seguridad y proporcionar a su CISO datos medibles y procesables sobre los efectos de su equipo en la postura de seguridad normal de su organización.
