Imagina que recibes un correo electrónico de tu director diciendo que hay una nueva promoción en el trabajo. Todo lo que debe hacer es iniciar sesión en el portal seguro provisto, completar una pesquisa de 5 preguntas y obtendrá un bono de $200 ese mes. “Guau”, piensas. “¡Esto es ajustado lo que necesitaba para cubrir mis gastos médicos inesperados! ¡Qué alivio!” Inicia sesión e inmediatamente recibe una notificación de que ha caído en una prueba de phishing. ¿Cómo te sientes? Es probable que estés derrotado, inaguantable y tal vez incluso enojado. “¡Eso no fue ajustado!” Crees.
Qué hacer túel conferenciante, piensa? ¿Fue una prueba desafío?
Algunos podrían asegurar que sí. A los atacantes no les importan sus gastos médicos, ¿por qué no debería probarse ese ángulo? Otros dicen que no, que no somos verdaderos atacantes, por lo que no deberíamos evaluar a los empleados de esa guisa. ¿Cuál es la respuesta correcta?
un bono de navidad
Durante la pandemia, una empresa realizó un prueba de suplantación de identidad muy parecido al de nuestra preámbulo. Examinaron a los empleados diciendo que habían tenido un gran año en su empresa y que estaban dando bonos de Navidad de $ 650 a todos los empleados que completaron un formulario. Casi 500 empleados cayeron en la trampa. Esos empleados se quejaron públicamente de que era una prueba insensible y sorda. Esto llevó a la empresa a disculparse públicamente. Esa prueba claramente no dejó a los empleados con puntos de capacitación positivos.
Claramente, la prueba podría haberse realizado de una guisa más ética. ¿Cómo es eso? En cambio, la empresa podría deber dicho que iban a hacer una rifa de Navidad. Poco así como “Si completa el formulario adjunto, participará para superar una plástico de regalo de iTunes de $ 15”. Con solo unos pocos cambios, esta prueba habría dejado a los empleados sin la sensación de pérdida que seguramente sintieron en la prueba auténtico.
Déjalos sintiéndose mejor por haberte conocido
Aquí en Social-Engineer, LLC, nuestro eslogan central es “Déjalos sentirse mejor por haberte conocido”. ¿Es eso posible si nos estamos aprovechando de la obligación básica de alguno para mantenerse a sí mismo y a su comunidad? No. Lo mismo ocurre con el usufructo de otras emociones intensas, como el miedo. No hay un buen punto de entrenamiento si amenazamos con despedir a alguno. Nuestro objetivo no es solo obtener una “rendimiento” para nosotros, sino dejar un momento del que sus empleados puedan cultivarse. Por eso, Christopher Hadnagy creó un Código de Ética para la ingeniería social que seguimos en nuestra empresa. El Código Ético de la Ingeniería Social logra estos tres objetivos importantes:
- Promueve el profesionalismo en la industria.
- Establece la ética y las políticas que dictan cómo ser un SE profesional.
- Brinda orientación sobre cómo sufrir a parte un negocio de ingeniería social.
¿Por qué es importante?
¿Por qué es importante un código de ética para la ingeniería social y, más específicamente, para el phishing y el vishing? Porque aunque nos pagan para imitar a los malos, no son los chicos malos. Nuestros objetivos no son los mismos. No estamos tratando de obtener una triunfo a cualquier costo, o no deberíamos estarlo. Por otra parte, debemos tener en cuenta cuáles deben ser nuestros objetivos; para capacitar a los empleados y proteger mejor a las empresas para guarecerse contra los atacantes maliciosos. No podemos hacer eso si imitamos a los atacantes maliciosos en cada forma. ¿Por qué no?
Imagínate lanzando un ataque como el que abrimos. ¿Qué cree que recordará el empleado de esa experiencia de “capacitación”? Probablemente, serán las emociones negativas sentidas, no cómo permanecer seguro en el futuro. Esto es exactamente lo que nosotros, como ingenieros sociales profesionales, queremos evitar. Más proporcionadamente, queremos dejarlos con momentos sólidos y didácticos. Queremos que puedan concentrarse en identificar los signos de una amenaza, en circunscripción de distraerse por las emociones negativas que hemos creado.
Sigan siendo los buenos
Es cierto que entrenar de esta guisa, con el foco puesto en influir en las emociones positivas, no siempre es hacedero. Los pretextos negativos suelen ser mucho más fáciles de crear. Pero creemos que vale la pena el esfuerzo. La preámbulo de la ética en la ingeniería social garantiza que nos hagamos producirse por los malos pero sigamos siendo los buenos. En Social-Engineer, nos enorgullecemos de lo que hacemos y cómo lo hacemos. Es Qué nos diferencia. Brindamos educación y concientización a sus empleados, al mismo tiempo que los hacemos percatar mejor por habernos conocido.
Para obtener una repertorio detallada de nuestros servicios y cómo podemos ayudarlo a conquistar sus objetivos de seguridad cibernética, visite:
https://www.Social-Engineer.com/Managed-Services/.
Imágenes:
https://associationsnow.com/wp-content/uploads/2021/11/GettyImages-1323080024.jpg
https://images.livemint.com/img/2022/01/02/689×388/iStock-1169096513_1641132180580_1641132236063.jpg