«En algún momento, todos los empleados se enamoran de un correo electrónico de suplantación de identidad»

La gente comete errores. En un contexto corporativo, hacer clic en un correo electrónico de phishing es casi parte de la vida cotidiana. Con graves consecuencias: según un estudio reciente de A1 Telekom Austria, el 91 por ciento de todos los ciberataques comienzan con un correo electrónico de phishing. En una entrevista, Karsten Tellmann, gerente de soluciones personalizadas en G DATA CyberDefense, explica cómo una simulación de phishing hace que el estado de la seguridad de TI sea medible y aumenta la conciencia de seguridad de los empleados.

¿Cómo ha cambiado la amenaza para las empresas en los últimos meses?

El número de intentos de ataques a empresas ha aumentado considerablemente en el último año. Incluso al comienzo de la pandemia, los delincuentes explotaron la inseguridad de las personas y enviaron correos electrónicos de phishing relacionados con la corona. Se ha demostrado que el phishing se está volviendo cada vez más sofisticado y los atacantes reaccionan a los eventos actuales en cortos períodos de tiempo. Actualmente, los delincuentes están engañando a los usuarios para que tengan acceso rápido a una vacuna corona, pero los archivos con malware se adjuntan al correo electrónico que se envía. O un enlace contenido en el correo conduce a un sitio web preparado con el objetivo de acceder a los datos de inicio de sesión y venderlos. Recientemente recibí varios correos electrónicos que intentaban colarse una aplicación bancaria falsa y me atraían a un sitio web falso.

Al mismo tiempo, la tendencia de que muchos empleados sigan trabajando desde casa les está jugando a los atacantes. Porque muchas empresas no pudieron proporcionar a sus empleados en la oficina central una infraestructura suficientemente segura debido a la presión del tiempo.

¿Por qué las tecnologías de protección ya no son suficientes para proteger contra los ataques cibernéticos?

La protección de endpoints moderna es uno de los componentes básicos más importantes de la seguridad de TI. Estas soluciones detectan la mayoría de los intentos de ataque y evitan el acceso externo. Pero los piratas informáticos criminales quieren obtener el máximo beneficio con poco esfuerzo y, por lo tanto, buscan debilidades en la defensa. Estos son, por supuesto, lagunas, como actualizaciones de software faltantes o acceso RDP mal asegurado con una contraseña que es demasiado simple. En realidad, sin embargo, el usuario mal informado es siempre el eslabón más débil de la cadena. Un clic incorrecto en el archivo adjunto o en un enlace de un correo electrónico puede ser suficiente para acceder a la red. Luego puede mirar alrededor del sistema en paz y tranquilidad, copiar datos e instalar otro malware.

Una vez que un empleado está convencido de que debe ingresar su contraseña en un sitio web por razones legítimas, por ejemplo, se pueden eludir buenas medidas de seguridad técnica, como la autenticación de dos factores.

Los ciberdelincuentes tienen un objetivo claro cuando se trata de phishing. Quieren que su víctima realice una determinada acción. La persona objetivo debe abrir un archivo adjunto de correo electrónico o hacer clic en un enlace y luego revelar información confidencial, como datos de inicio de sesión. Con esta información, los atacantes obtienen acceso a las bandejas de entrada del correo electrónico, por ejemplo, o pueden infectar la red con malware. Al hacerlo, se aprovechan constantemente del comportamiento humano. Abordan específicamente la ayuda, la curiosidad o la codicia en su víctima o crean un sentido de urgencia al aumentar la presión y, por ejemplo, exigir que las contraseñas se cambien de inmediato. Los atacantes abordan la curiosidad natural con líneas de asunto y nombres de archivos como «curriculum vitae» o «nuevo concepto». O los correos imitan marcas confiables. Por ejemplo, se replican los mensajes del soporte de Amazon, en los que se le pide al usuario que actualice los datos bancarios a través de un enlace que conduce a un sitio web de phishing replicado. Los datos ingresados ​​irán directamente a los estafadores. Para hacer que los correos electrónicos de phishing parezcan aún más creíbles, los atacantes utilizan cada vez más «cadenas falsas». Ponen «AW:», «Fwd:» o «WG:» delante del asunto y, a veces, incluso agregan un historial de correo electrónico falso. Para hacer que los correos electrónicos de phishing parezcan aún más creíbles, los atacantes utilizan cada vez más «cadenas falsas». Ponen «AW:», «Fwd:» o «WG:» delante del asunto y, a veces, incluso agregan un historial de correo electrónico falso. Para hacer que los correos electrónicos de phishing parezcan aún más creíbles, los atacantes utilizan cada vez más «cadenas falsas». Ponen «AW:», «Fwd:» o «WG:» delante del asunto y, a veces, incluso agregan un historial de correo electrónico falso.

¿Los correos electrónicos de phishing están restringidos solo a usuarios privados?

No, los correos electrónicos de phishing también son parte del día a día de las empresas. Tratar las solicitudes de puestos anunciados o facturas es parte del negocio diario. Los atacantes aprovechan la forma habitual de manejar estos correos electrónicos, ya que los empleados tienden a estar distraídos durante el trabajo de rutina. Una y otra vez, los atacantes acumulan presión de tiempo en los correos electrónicos para obligar a las víctimas a actuar rápida y precipitadamente. De modo que se están explotando características muy humanas. Una vez que un empleado está convencido de que debe ingresar su contraseña en un sitio web por razones legítimas, por ejemplo, se pueden eludir buenas medidas de seguridad técnica, como la autenticación de dos factores.

El phishing se está volviendo cada vez más sofisticado; aunque innumerables correos electrónicos masivos continúan llegando a los buzones de correo, el riesgo de ataques dirigidos ha aumentado. Para ello, los atacantes espían a su víctima en las redes sociales o en la página de inicio de la empresa y, en base a esto, crean un correo electrónico de phishing a medida. En esto se refieren, por ejemplo, a un evento al que ha asistido un empleado. Los llamados correos electrónicos de spear phishing difícilmente pueden distinguirse de los mensajes reales. Si usa malware como Emotet para leer los historiales de correo electrónico existentes y enviar correos electrónicos desde dentro de la organización con un archivo adjunto infectado, será aún más difícil detectarlos. Aquí se requiere una solución AV que sea de vanguardia. Además, los ciberdelincuentes utilizan esta ruta para atacar a otras víctimas.

¿Existen características típicas de un correo electrónico de phishing?

Depende del tipo de ataque. En el caso de correos electrónicos no deseados masivos simples, por ejemplo, falta el saludo directo. Este tipo de correo electrónico a menudo se dirige como «Estimado cliente». Además, el correo a menudo contiene errores ortográficos y gramaticales o es ilógico en su argumentación, por lo que en realidad es fácil de identificar como una falsificación. Y, sin embargo, suficientes destinatarios se enamoran del mensaje.

La situación es diferente con el spear phishing. El correo está elaborado y adaptado directamente a la víctima. Es mucho más difícil identificar el fraude. La mayoría de las veces, las falsificaciones se acercan mucho al original y solo se reconocen mediante pequeños detalles que se desvían. Un ejemplo típico son los correos electrónicos con solicitudes de contacto de una red social. Cualquiera que sospeche aquí no debe, bajo ninguna circunstancia, hacer clic en el enlace del correo electrónico, sino visitar el sitio web directamente. Porque allí también se muestra una solicitud de contacto legítima y el usuario reduce el riesgo de ser víctima de un ataque de phishing.

¿Por qué las empresas necesitan sensibilizar a sus empleados sobre el tema de la seguridad informática?

En nuestro trabajo diario, pero también en la vida privada, muchos procesos están completamente automatizados y respaldados por TI. Un suministro seguro de información digital es ahora tan importante como el suministro de electricidad o agua. Pero cuando se trata de seguridad de TI, los miembros de la junta, los directores generales y los empleados aún hacen la vista gorda. Muchos empleados utilizan contraseñas fáciles de recordar para sus cuentas de usuario de TI, pero las contraseñas simples se pueden descifrar muy rápidamente. Si también obtiene los datos de inicio de sesión de un administrador de TI, habrá alcanzado su objetivo rápidamente y podrá operar en la red de la empresa.

¿Cómo pueden las empresas ayudar a sus empleados para que no hagan clic en los correos electrónicos de phishing?

Las empresas deben tener una visión holística de la seguridad de TI. Además de las medidas técnicas de seguridad, los empleados deben formar parte de la estrategia de defensa. Un video de capacitación que informe a los empleados sobre correos electrónicos de phishing y otras amenazas cibernéticas no es suficiente aquí. Incluso una formación presencial de dos días no es suficiente a largo plazo. Sensibilizar a los empleados sobre los riesgos de seguridad de TI es un proceso a largo plazo. Desde mi punto de vista, esto solo es posible con la ayuda de una amplia formación en concienciación sobre seguridad. Cuando los empleados son conscientes de los riesgos, actúan con más cautela y tratan más críticamente los correos electrónicos. Al mismo tiempo, también comprenden los requisitos de contraseña y otros problemas relacionados con la seguridad.

¿Qué papel juegan las simulaciones de phishing en la formación de concienciación sobre seguridad?

Con las simulaciones de phishing, los empleados pueden obtener una experiencia efectiva con correos electrónicos peligrosos. Le permite lidiar con el phishing de manera más rutinaria y aumenta su confianza en sí mismo. Las empresas pueden utilizar una simulación para medir el estado de la seguridad de TI. Un informe muestra a la persona responsable si y cuántos empleados han abierto un correo electrónico peligroso e incluso han hecho clic en el enlace. Esto deja en claro cuán grande es la necesidad de acción y dónde está. A continuación, las empresas deben realizar una formación sobre concienciación sobre la seguridad para mejorar de forma sostenible la conciencia de los empleados sobre las amenazas cibernéticas y para acumular conocimientos. Cualquiera que luego ejecute otra simulación de phishing puede ver cómo ha mejorado el nivel de seguridad en la empresa.

¿Cómo se debe estructurar una simulación de phishing?

Idealmente, el ejercicio debería durar de tres a cuatro semanas. Los correos electrónicos de phishing deben cubrir diferentes niveles de dificultad. El componente de tiempo, es decir, el tiempo de envío, también debe variar, porque la atención de los empleados no es constante. Algunos empleados ya no están tan atentos a la anticipación del final del día o del fin de semana como al comienzo de la jornada laboral. Estoy bastante seguro de que todos los empleados se enamorarán de al menos un correo electrónico. Pero es precisamente de este error de lo que más aprenden.

¿Qué deben tener en cuenta las empresas si quieren ejecutar una simulación de phishing?

Por supuesto, las empresas deben cumplir las condiciones generales de la legislación laboral. Por lo tanto, debe involucrar al delegado de protección de datos o al comité de empresa en una etapa temprana.

Sin embargo, desde mi punto de vista, otro punto es mucho más decisivo: una simulación de phishing necesita un marco adecuado. Esto incluye, por ejemplo, un proceso de notificación de correos electrónicos sospechosos. En caso de sospecha, los mensajes sospechosos no deben simplemente eliminarse, sino comprobarse. Los oficiales de seguridad de TI pueden entonces tomar medidas inmediatamente si se confirma la sospecha. Esto incluye, por ejemplo, adaptar los filtros de spam utilizados para que estos correos electrónicos se bloqueen directamente. Además, se requiere una cultura empresarial que proteja a los empleados que han caído en un correo electrónico de phishing. Solo quienes hablan abiertamente sobre este comportamiento y no lo sancionan crean conciencia del riesgo existente en la población activa. Un empleado que se enamoró de un ataque de phishing

Enlace: https://www.gdata.de/blog/2021/02/36625-irgendwann-faellt-jeder-mitarbeiter-auf-eine-phishing-mail-herein Blog de GDATA  Stefan Karpenstein