El riesgo del phishing multicanal está en el horizonte


A medida que las conferencias de seguridad regresan a los lugares en persona, la comunidad de seguridad cibernética está llena de preocupaciones sobre los ataques de phishing multicanal, siendo el phishing móvil la mayor preocupación, ya que los piratas informáticos recurren a los dispositivos móviles para lanzar ataques de smishing y compromiso de texto comercial.

Al pasar completamente a la nube, las aplicaciones y los navegadores son todo lo que necesitamos para comunicarnos con el trabajo, la familia y los amigos. Si bien la mayoría de nosotros conocemos las medidas de protección de la ciberseguridad, no somos infalibles. Podemos caer en la tentación de proporcionar información personalized y credenciales o instalar aplicaciones maliciosas que pueden socavar incluso las defensas de ciberseguridad más sofisticadas. Nuestra dependencia de dispositivos móviles con poca o ninguna protección contra ataques maliciosos pone en riesgo los datos personales y de la empresa.

Los ataques de phishing multicanal van en aumento, y cada vez más las infracciones tienen éxito porque los piratas informáticos están lanzando ataques muy específicos a gran escala, impulsados ​​por tecnología de automatización, aprovechando la psicología humana y explotando nuestro uso de aplicaciones, navegadores y múltiples canales de comunicación.

Los humanos son los puntos de entrada de ciberseguridad más estratégicos en una organización porque los delincuentes pueden usar la psicología para engañarnos y anular o socavar incluso las configuraciones de protección de ciberseguridad más sofisticadas. Y los ataques sofisticados de hoy en día son esencialmente invisibles para el ojo humano. Atrás quedaron los correos electrónicos de phishing mal escritos de ayer. La piratería humana real puede engañar incluso al profesional más consciente de la seguridad para que siga una URL maliciosa o inicie sesión en un sitio ilegítimo y exponga datos y una red. Para el atacante, es mucho más sencillo y menos costoso atacar a un ser humano que a una crimson o una máquina bien defendida.

“Además, nuestro mundo, y la forma en que usamos la tecnología, se ha alterado drásticamente. Esto ha aumentado aún más el peligro de ataques de piratería humana. Después de la pandemia, un gran porcentaje de la fuerza laboral seguirá teniendo algunos arreglos de trabajo híbrido remoto/de oficina, lo que significa que estamos mezclando nuestros mundos own y profesional en línea más que nunca. Eso nos abre a más amenazas, especialmente cuando los ataques de piratería humana provienen de una infraestructura legítima. Hemos recurrido a interactuar a través de aplicaciones y trabajar en navegadores. Usar canales de colaboración como Zoom y Slack y hacer casi todo a través de nuestros teléfonos inteligentes ha abierto más vectores de ataque.

Atrás quedaron los días en que los correos electrónicos de phishing se detectaban fácilmente debido a logotipos de baja calidad, mala gramática o simplemente la naturaleza totalmente increíble del correo electrónico. Ahora, los atacantes están bien equipados y son muy estratégicos con respecto a sus ataques, y el mensaje de texto SMS creíble o la invitación de redes sociales de un ciberdelincuente es mucho más peligroso.

Entonces, la gran cantidad de estos usuarios del canal multiplica la ecuación de riesgo para las empresas. Agregue a esto el hecho de que los ataques han evolucionado hasta el punto en que un solo ataque utilizará múltiples canales para convencer a los usuarios de que son legítimos. También existe el problema principal de subestimar el riesgo del component humano: los ataques de hoy en día son simplemente imposibles de detectar con vistas, evaluaciones y análisis forenses exclusivos para humanos.

Qué observar

Ahora, especialmente a medida que el navegador se está convirtiendo en el sistema operativo de la empresa, la cantidad de canales de ataque ha aumentado. Las extensiones y complementos del navegador están disponibles a través de grandes marcas muy respetadas, incluidas Android y Apple, pero no siempre son seguras. Además, los resultados de búsqueda del navegador pueden integrarse con ataques, atrayendo la atención del usuario con algo que le importa y en lo que es más possible que haga clic. Y, por supuesto, las aplicaciones comunes de Microsoft 365 y las aplicaciones de productividad empresarial como LinkedIn, Dropbox y WhatsApp están abiertas al abuso de phishing.

Dado que la piratería humana es un problema único, debemos centrarnos en las personas para resolverlo. Es importante capacitar a las personas para que reconozcan las amenazas, pero los ataques son demasiado difíciles de detectar para los usuarios como para capacitar a los empleados para que sean cautelosos y tengan suficiente seguridad. Pedirle a la gente que envíe solicitudes sospechosas a TI es una ayuda, pero no una cura. Simplemente, hay demasiados ataques convincentes en todos los canales para que TI pueda mantenerse al día con los que se reenvían.

Hay mejores maneras. Uno, reconocer que los ciberdelincuentes apuntan ataques a las personas dentro de las organizaciones y luego defenderlas, en todos los canales digitales. Dos, aproveche la inteligencia artificial y el aprendizaje automático para identificar amenazas y luego use esa protección en los puntos finales de la crimson de una organización, desde los teléfonos inteligentes de los empleados hasta las cuentas de Zoom.

En un mundo en el que estamos tratando de estar un paso por delante de los piratas informáticos, es hora de reconocer adecuadamente la magnitud del desafío multicanal en el horizonte y un nuevo enfoque que refuerza a las personas que están bajo ataque.

Sobre el Autor

Patricio Harr

Patrick Harr es director common de Barra oblicuaSiguientela autoridad en protección contra el phishing multicanal y la piratería humana en correo electrónico, website y dispositivos móviles.



Enlace a la noticia first