Cuando hablamos con las empresas sobre la realización de pruebas de phishing, una de las respuestas más comunes es “Sabemos que mucha familia hará clic, entonces, ¿por qué molestarse?” Hay dos problemas con esa mentalidad. Primero, sí, muchos empleados pueden hacer clic en un enlace en un correo electrónico según el pretexto utilizado. Sin bloqueo, contar los clics en los enlaces no es lo más importante en una campaña. Lo que nos gusta ver es cuántas personas denunciarán un correo electrónico de phishing.
En segundo zona, ¿cómo pueden mejorar los empleados y la empresa sin capacitación ni pruebas? La mayoría de las empresas son conscientes de que necesitan probar periódicamente sus servidores en exploración de debilidades (a menudo denominadas pruebas de penetración o pentest) y saben que existe la posibilidad de que se encuentren problemas. Cuando conoce los problemas que existen y su seriedad, puede ponderar y afrontar el peligro. Estas mismas consideraciones deben tomarse al pensar en la ingeniería social contra los empleados.
Un enfoque de varias capas
Para una protección adecuada, recomendamos la formación de concienciación sobre phishing entre los empleados, pero no debe ser la única linde de defensa. Siempre se recomienda un enfoque de defensa en profundidad. Por otra parte de la educación de los empleados, los servidores de correo deben tener filtros de spam adecuados. Esos filtros deberían poder detectar correos electrónicos con enlaces inseguros y archivos adjuntos maliciosos. El servidor de correo debe poner en cuarentena esos archivos de guisa adecuada. Las estaciones de trabajo deben tener un antivirus actualizado, en caso de que un archivo pillo llegue a la bandeja de entrada del correo electrónico y se ejecute. Las cuentas deben tener autenticación multifactor en caso de que se filtren las credenciales. La red asimismo debe tener un monitoreo y alertas adecuados para cuando las cuentas estén realizando actividades anormales. Las redes deben segmentarse correctamente para que las cuentas de un segmento no puedan cruzar fácilmente los límites cerca de otros segmentos innecesarios. Las cuentas deben seguir el principio de “privilegio exiguo”, lo que significa otorgar a las cuentas solo los permisos mínimos necesarios.
Si todos estos pasos se siguen correctamente, un empleado que haga clic en un enlace de correo electrónico pillo no debería causar un daño generalizado a la empresa. Pero hablemos un poco más sobre un software educativo de phishing.
Lo que positivamente estamos probando
Demasiadas campañas de educación sobre phishing se centran en los enlaces en los que se hace clic, la cantidad de veces que se hace clic en un enlace en un mensaje pillo. Nuestro enfoque está en el reporte de correos electrónicos maliciosos.
Cuando realizamos una campaña de phishing, nuestro sistema mide:
- Cuántos correos electrónicos se enviaron
- Cuántos correos electrónicos se abrieron
- ¿En cuántos correos electrónicos se hizo clic en los enlaces?
-
- ¿Cuántos de estos fueron reportados como maliciosos?
- Cuántos correos electrónicos se informaron sin que se hiciera clic en un enlace
Nos gusta ver un porcentaje muy suspensión de los correos electrónicos abiertos informados. En una campaña de phishing fresco para una institución financiera, vimos que se abrieron 6826 de nuestros correos electrónicos de phishing. De esos, 6.465 (94,7%) se informaron como maliciosos. ¡Este es un número sobresaliente!
Por qué los informes son más importantes que las tasas de clics
La mayoría de las empresas tienen un equipo que se enfoca en proteger sus redes y objetar a incidentes. Este personal es muy bueno en su trabajo, si saben que hay una intrusión o si los empleados están siendo atacados. Cuando se notifica a estos equipos, pueden entrar en acto buscando indicios de compromiso. Su personal de TI puede eliminar inmediatamente el correo electrónico pillo de todas las demás bandejas de entrada y encontrar cualquier proceso no facultado en ejecución. Los administradores del sistema pueden forzar un restablecimiento de contraseña y averiguar cualquier intento inesperado de conseguir a la red. Cuando estos incidentes no se informan, los actores maliciosos tienen más tiempo para demarcar datos confidenciales, aumentar su comunicación a la red y disfrutar sus ataques.
Lo que hacemos diferente
En Social-Engineer, nuestro enfoque está en las tasas de informes y en la educación. Cuando un empleado hace clic en un enlace en una prueba de phishing, le mostramos una página web que le dice que se comercio de una prueba. Por otra parte, usamos ese momento para educarlos sobre las diversas pistas que se incluyeron intencionalmente en el correo electrónico de phishing. Algunos consejos que señalamos pueden incluir, la URL de la que proviene el correo electrónico no coincide con el dominio de la empresa o la solicitud enfatiza la aprieto con un plazo razonable. En zona de que esto sea un “¡Te tengo!” momento, queremos que este sea un momento de enseñanza. La familia quiere hacer lo correcto y la mejor guisa de ayudarla es usar la educación y la empatía, no la vergüenza o el miedo.
Por extremo, somos flexibles en los tipos de campañas de phishing que ofrecemos. Nuestras campañas de Managed Phishing Service son personalizadas y creadas por nuestro equipo de ingenieros sociales certificados y capacitados, no por un correo electrónico automatizado extraído de una biblioteca de plantillas. Si hay ataques o campañas específicas que son exclusivas de su industria, trabajaremos con usted y crearemos la campaña que mejor se adapte a sus deposición.