El correo electrónico es una de las muchas armas a disposición de los malos actores en Internet, y sus empleados están en la línea de fuego. Los atacantes intentan esconderse detrás de una entidad confiable, a veces incluso haciéndose pasar por un proveedor conocido o incluso como un representante de un grupo dentro de su propia organización, como RR.HH. o TI. Con frecuencia ofrecen algo que la víctima podría querer o necesitar, o una empresa o individuo con quien la víctima potencial puede relacionarse o con la que pueda hacer negocios, para que su presa descargue un archivo adjunto o haga clic en un enlace. Esto puede deberse a varias razones; como instalar ransomware , robar datos de usuario y contraseñas, recopilar información financiera o del sistema y otros fines nefastos. suplantación de identidad por correo electrónicose remonta a la década de 1990 y es una de las primeras formas de ciberataque, sigue siendo una de las más frecuentes, y las tácticas de phishing se vuelven cada vez más sofisticadas. Aquí hay algunos puntos de datos que deberían darle una pausa y comenzar a pensar en la postura de seguridad de su propia empresa.

• El 94% del malware se envía por correo electrónico y los ataques de phishing representan más del 80% de los incidentes de seguridad notificados ( CSO Online ).
• El 36% de las infracciones han involucrado phishing en lo que va de 2021, un 11% más que en 2020, año tras año ( Informe de investigaciones de infracciones de datos de Verizon 2020 ).
• Más de una cuarta parte de los empleados de EE. UU. Admiten tener problemas para identificar un correo electrónico de phishing ( Informe sobre el estado de la privacidad y la seguridad de 2020 ).

¿Por qué crear un ataque de phishing simulado en su empresa?

El software de cliente de correo electrónico, que administra la cuenta de correo electrónico de un usuario a través de una aplicación de escritorio, filtrará algunos de estos ataques de phishing, pero no todos. El propósito de un ataque de phishing simulado no debe ser hacer que los usuarios se sientan irresponsables, ignorantes o desinformados, sino actuar como una forma de toda la empresa para resaltar el problema y proteger sus datos confidenciales. Esto no debería ser un ejercicio de culpa, pero debería ser educativo.

Establecer un plan para crear un ataque de phishing

La creación de un ataque de phishing simulado requiere cierta preparación y planificación. Tener un plan garantizará la aprobación interna para seguir adelante. La siguiente es una lista de verificación útil para ayudar a garantizar la comunicación más efectiva e identificar sus dependencias.

• ¿Con qué frecuencia lanzará simulaciones de phishing individuales? ¿Cuántos te propones hacer? - ¿6 más de 12 meses? 8 más de 18 meses?
• ¿Cómo va a anunciar la campaña en su empresa? Si bien los correos electrónicos de phishing individuales deben ser "secretos", el objetivo de esto es crear conciencia y prevenir ataques. No hay nada de malo en hacer saber a las personas que esto va a suceder si fomenta las mejores prácticas y si el personal está capacitado para saber cómo responder.
• ¿Qué documentación de apoyo proporcionará sobre el tema y cómo podrá la gente acceder a ella? El personal deberá saber dónde pueden informar los correos electrónicos de phishing y los procesos internos antes de que se lleve a cabo su ataque simulado.
• ¿Quiénes son las principales partes interesadas y quién debe estar al tanto de su ataque de phishing de imitación antes del lanzamiento? Esto involucrará de manera crítica a su equipo de soporte técnico de TI y a los miembros de su equipo de liderazgo, y (potencialmente) a los jefes de departamento. Esto debe hacerse según sea necesario, ya que probar la respuesta ciega general de su fuerza laboral es fundamental para el ejercicio.
• ¿Qué forma tomará su campaña? Su primer correo electrónico de phishing no debería ser complicado, pero tampoco debería ser demasiado fácil. Es mejor aumentar la complejidad de forma incremental a lo largo del tiempo para establecer puntos de referencia medibles. Una factura en línea falsa que requiera pago o una actualización de software común podría ser un buen comienzo, por ejemplo.
• ¿Quién va a crear la campaña de phishing y distribuir la copia a sus colegas?
• ¿Cómo va a supervisar la tasa de apertura, la tasa de informes y los clics? Medir la tasa de informes es fundamental; después de todo, es lo que quiere que la gente haga.
• ¿Cómo va a presentar sus hallazgos y qué hará con esos hallazgos para garantizar las mejores prácticas en el futuro?

Lanzamiento de la campaña de ataque de phishing simulado

Se creativo. Es posible que desee considerar comprar una URL para cada correo electrónico que publique, lo que ayudará a vender el paquete, pero no debe exagerarse. El software de correo masivo como MailChimp puede ser invaluable, especialmente porque tiene el seguimiento de clics habilitado de manera predeterminada. También puede ser posible ponerse en contacto con sus proveedores o distribuidores, utilizando sus cuentas (y permitiéndoles probar desde sus cuentas a su vez, si corresponde) para simular cuentas de correo electrónico comprometidas. A medida que se implemente su campaña, deberá considerar diferentes contenidos creativos y diferentes tipos de ataques de phishing simulados. Es importante realizar pruebas en todos los ámbitos. Intente usar días festivos nacionales (haga clic aquí para obtener su tarjeta de Navidad), solicitudes de restablecimiento de contraseña de software, solicitudes de recursos humanos para detalles como contraseñas de red, solicitando información de cuentas en la época de impuestos, o lo que se aplique a su empresa. Es importante probar la complejidad de los diferentes elementos de la campaña.

Como no desea que su personal realice una acción, no importa dónde se encuentren finalmente. La acción de hacer clic debe medirse, pero la acción no necesita una resolución: vincular a una página en blanco, un 404 o incluso un Rickroll (no, en realidad no) está bien.

¿Cómo evalúa una resolución satisfactoria?

Si bien la tasa de apertura y la tasa de clics son métricas interesantes, la tasa de informes (y su crecimiento a lo largo del tiempo) son fundamentales. Informar cualquier correo electrónico de suplantación de identidad (phishing) a su servicio de asistencia de TI es la acción que queremos que el personal tome. Un aumento en esto, a medida que implementa cada una de sus simulaciones de phishing a lo largo del tiempo, muestra un progreso: un aumento en el conocimiento y el conocimiento de las mejores prácticas en toda su empresa.

Recuerde, esta es una oportunidad para aprender y tomar conciencia, no una caza de brujas. Compartir números y resultados con el personal vuelve a poner la amenaza de ataques de phishing en su radar y aumenta la importancia de los protocolos de phishing nuevamente para que estén al frente de la mente. Es posible que desee informar los hallazgos por departamento, pero hacerlo individualmente es algo que debe reservar para las etapas posteriores de cualquier campaña, y luego solo para la educación individual de los infractores reincidentes, evitando su vergüenza.

La mejor ofensa es la conciencia y el conocimiento, y todos aprendemos mejor por experiencia. La realización de ataques de phishing simulados es una oportunidad de aprendizaje y una oportunidad valiosa y rentable de tapar un agujero de vulnerabilidad más en el camino hacia la seguridad cibernética de la empresa.

La solución de firewall de aplicaciones web de Imperva puede ayudarlo con los ataques de phishing

El phishing es el punto de partida para la mayoría de las infracciones de datos y redes. Los ciberdelincuentes buscan constantemente nuevas formas de aprovechar los servidores comprometidos y reducir el costo de las actividades de phishing. El firewall de aplicaciones web de Imperva proporciona inteligencia de amenazas en tiempo real sobre fuentes maliciosas conocidas, como URL de phishing, sitios fraudulentos que se utilizan en ataques de phishing.