El phishing juega con las emociones humanas. Pero la conciencia, el reconocimiento, la capacitación y la tecnología pueden mitigar los ataques más sofisticados.

Los minoristas no son las únicas personas que esperan con ansias la temporada navideña. También será un momento ajetreado para los estafadores y los estafadores, ya que envían cupones, promociones y ofertas a los consumidores, e incluso vales de agradecimiento a los empleados, que pretenden provenir de organizaciones y marcas en las que confían.

De hecho, el CIO informó que los piratas informáticos experimentados tardan solo unos minutos en configurar un ataque de ingeniería social contra las empresas (y sus proveedores de servicios administrados) que se consideran seguras y protegidas.

Aunque el phishing por correo electrónico (mensajes engañosos diseñados para engañar a una persona para que comparta datos confidenciales -o incluso dinero- o inyectar software malicioso en el sistema del destinatario) es uno de los trucos más antiguos del libro, los ataques cibernéticos por correo electrónico representan el 90% de todas las filtraciones de datos. incluso hoy, según una investigación de Hoxhunt . En conjunto, estos ataques cobran un precio de 6 billones de dólares a la economía global.

Si bien los consumidores y las personas en general se han vuelto conscientes de estos ataques a lo largo de los años, incluso si no conocen el término “phishing”, siguen siendo sorprendentemente comunes y efectivos.

Entonces, ¿cuáles son los diferentes tipos de ataques de phishing que prevalecen en la actualidad? ¿Qué métodos utilizan los expertos en ciberseguridad para minimizar el impacto de estos ataques? ¿Cómo combaten las empresas estas amenazas a una escala más amplia y evitan los intentos persistentes de phishing?

Profundicemos.

1. Comprender los diferentes tipos de ataques de phishing

Los phishers utilizan tácticas de ingeniería social a través de casi todos los formatos de comunicación y conexiones para lanzar ataques de phishing. Como era de esperar, hay más en el phishing que el correo electrónico:

• Suplantación de identidad por correo electrónico: los atacantes envían correos electrónicos con archivos adjuntos que inyectan malware en el sistema cuando se abren o enlaces maliciosos que llevan a la víctima a un sitio donde son engañados para que revelen datos confidenciales.
• Spear phishing: los atacantes envían correos electrónicos a objetivos específicos que saben que tienen la información que necesitan, como todos los miembros del departamento de ventas o TI.
• Caza de ballenas: correos electrónicos enviados a altos ejecutivos, como directores ejecutivos o directores financieros, como parte de una estafa de orientación de alto perfil.
• Smishing: Phishing a través de mensajes de texto (SMS).
• Vishing: Voice over IP (VoIP) y Plain Old Telephone Services (POTS) también son susceptibles a ataques de phishing: los atacantes utilizan software de síntesis de voz y llamadas automáticas para solicitar a las víctimas que compartan datos bancarios y credenciales de inicio de sesión.
• Phishing en redes sociales: Ataques ejecutados en plataformas sociales como Instagram, Twitter, Facebook o LinkedIn, diseñados para apoderarse de su cuenta o usarla para publicar mensajes como parte de una campaña más grande.
• Pharming: los atacantes utilizan el envenenamiento de caché de DNS (reemplaza una dirección IP legítima almacenada en caché por una maliciosa) para redirigir a las víctimas a sitios falsos (pero de aspecto similar) donde se capturan sus credenciales de inicio de sesión.

2. Capacite a los empleados para que reconozcan los intentos de phishing

Además de ser un lugar común, los ataques de phishing se han vuelto tan rentables (para los atacantes) que los ciberdelincuentes más grandes han ido más allá de los clientes individuales. Más bien, se dirigen a los empleados de la empresa que pueden ser engañados para que revelen información que es mucho más confidencial, en una escala mucho mayor.

“Un ejemplo podría ser un banco: no queremos apuntar a sus clientes, creemos que es tonto y lento, queremos apuntar al banco en sí”, dijo Mike Connory , director ejecutivo de Security In Depth.

Dado que los ataques de phishing se dirigen de manera abrumadora al elemento humano, los expertos en seguridad cibernética están de acuerdo en que la mejor defensa contra esto es brindar capacitación sobre seguridad a los empleados de la empresa. Esto ayuda en la identificación temprana de ataques y aumenta la higiene de seguridad general. Algunas precauciones básicas que debe tomar el personal de todos los departamentos son:

• Mantenga las cuentas de correo electrónico y del sitio web (e incluso los dispositivos) separados para uso personal y laboral siempre que sea posible.
• Sepa que las empresas legítimas nunca le pedirán contraseñas, información personal, financiera o corporativa. Confirme independientemente con el instituto u organización si puede.
• Nunca copie y pegue enlaces de correos electrónicos; nunca haga clic en URL acortadas a menos que confíe en la fuente.
• Compruebe la dirección de correo electrónico del remitente. Si no lo reconoce, tenga cuidado al abrirlo.
• Lea atentamente todas las URL de todos los sitios en los que inicia sesión y comparte, accede o crea datos confidenciales.
• La mayoría de los mensajes y correos electrónicos de los phishers contienen errores ortográficos y gramaticales. No son corregidos profesionalmente.
• Los mensajes o llamadas coercitivos o amenazantes son una señal de alerta. Las instituciones legítimas no enviarán dicha comunicación a menos que haya una disputa legal. Doble verificación.
• No inicies sesión en redes WiFi en las que no confíes.

Realizados correctamente, estos sencillos pasos pueden convertir a su personal en defensores endurecidos de su red. “A menudo escuchas que las personas son el eslabón débil de la seguridad. Eso es muy cínico y no considera los beneficios de utilizar la fuerza laboral de una empresa como primera línea de defensa”, dijo Riaan Naude , Director Global de Consultoría y Performanta.

“Los empleados pueden detectar una cantidad significativa de amenazas que llegan a su bandeja de entrada si pueden seguir un proceso de informes sencillo que produzca resultados tangibles”, agregó Naude. Esto es importante porque la tasa de informes de intentos de incidentes de phishing actualmente languidece en un mísero 3 % .

3. Use software habilitado para IA para implementar medidas de seguridad contra el phishing

La capacitación interna en seguridad cibernética ya no es un proceso que requiere mucho tiempo y habilidades, dada la prevalencia de las plataformas de concientización sobre phishing basadas en IA. Hoy en día, ML permite programas de capacitación de seguridad personalizados y gamificados para cada individuo en función de su nivel actual de conocimiento, posición en la organización y comportamiento de navegación.

Además, la IA es una herramienta potente en manos de los expertos en ciberseguridad. Mejora la eficiencia y la eficacia de las políticas de seguridad al mejorar y automatizar los procedimientos de detección de amenazas de rutina. La automatización habilitada por IA puede ayudar a las organizaciones a implementar una variedad de medidas contra el phishing:

• Implemente herramientas antimalware, antivirus y antispam y mantenga las aplicaciones clave parcheadas y actualizadas.
• Implemente estándares de autenticación de correo electrónico en los servidores de correo electrónico de la empresa para comprobar y verificar los correos electrónicos entrantes. Algunos protocolos, como el Informe y conformidad de autenticación de mensajes basados ​​en dominios (DMARC), ayudan a los administradores y usuarios a bloquear los correos electrónicos no solicitados de manera efectiva.
• Programe capacitación regular sobre seguridad y phishing para los empleados y medidas correctivas para aquellos que fallan las pruebas.
• Modele la comunicación legítima dentro de la organización, basada en el comportamiento predecible de los usuarios regulares, elaborando patrones de interacción entre varias entidades y analizando el contexto de los mensajes, y asignando puntajes de seguridad dinámicos (con umbrales de anomalía) a los correos electrónicos.
• Integre con servicios de correo electrónico en la nube para bloquear correos electrónicos maliciosos que filtran la seguridad nativa de la plataforma.
• Brinde a los empleados una ruta de un solo clic para informar correos electrónicos sospechosos y automatizar la categorización, el análisis y la administración de estos correos electrónicos.

Defensa contra el phishing centrada en las personas

Si bien la efectividad de todas y cada una de las medidas de seguridad depende de las personas, los procesos y la tecnología, el phishing puede ser derrotado por la misma táctica en la que prospera: la ingeniería social. Las soluciones que ayudan a las personas a ser más inteligentes, conscientes, resilientes y receptivas ganarán el día contra los intentos de phishing más avanzados. ¿Por qué no armar a tu equipo para que sea el ganador?

Dipti Parmar, CIO.com