Entrenamientos de Phishing: El poder de las imágenes

Apenas ocho semanas en el mercado y ya galardonada: La Society for Education, Information and Media (GPI) ha otorgado a los nuevos cursos de formación en phishing de la academia G DATA el Sello Comenius Edu-Media 2022. En esta entrevista, Miriam Kehl, diseñadora conceptual de youknow, explica cómo surgió la serie de capacitación y cómo ha cambiado su visión de la seguridad de TI.

¿Qué requisitos se deben implementar con los entrenamientos de phishing?

La tarea era generar atención para el tema del phishing y presentarlo de manera vívida y tangible. Junto con G DATA, hemos logrado que las capacitaciones sean entretenidas y así distinguirnos de las soluciones convencionales del mercado. La serie está diseñada didácticamente de tal manera que los estudiantes se mantienen en la pelota y tratan el tema. La idea central de crear una serie sobre phishing con siete episodios vino del equipo de la academia G DATA.

Con esto en mente, diseñamos una historia y diseñamos la serie de entrenamiento. Rápidamente nos decidimos por la idea del mundo submarino. Los temas están estrechamente relacionados, por lo que decidimos no tener siete historias individuales autónomas y ahora contar una historia de entrenamiento cruzado.

¿Cómo surgió la idea con el mundo submarino?

No solo nosotros, sino también G DATA queríamos un lenguaje visual fresco y fuerte desde el principio y es por eso que involucramos a nuestro diseñador gráfico directamente en el concepto. El poder de las imágenes no debe subestimarse. Comenzamos con la pregunta de cómo se sienten las víctimas de un ataque de hackers. Como ya era víctima de un troyano, todavía podía recordar cómo se siente: estás en estado de shock e indefenso. Perdí el aliento en ese momento. Con estos sentimientos, fue solo un corto paso desde el phishing hasta la pesca y el agua. Aquí aterrizamos rápidamente en la imagen del vórtice que te tira de su tirón. Desde el principio, estábamos convencidos de que literalmente podíamos barrer a los estudiantes con este entorno. También era importante para nosotros que también recogiéramos a los usuarios en su lugar de trabajo. Por lo tanto, también comenzamos la primera capacitación en una situación de oficina y cambiamos rápidamente al mundo del agua porque ofrece muchas opciones para una historia e interacciones emocionantes.

¿Dónde estaba el foco en el desarrollo posterior?

Para nosotros, la cuestión de las personalidades actorales estaba en primer plano. La idea con el equipo de la oficina tenía más sentido, porque podíamos asignar a cada personaje un canal en el que se producen ataques de phishing: SMS, correo electrónico y teléfono. El equipo se complementa con un gerente para mostrar que las personas en posiciones de liderazgo son dirigidas de una manera completamente diferente. A partir de ahí, desarrollamos el mundo submarino y lo llenamos de contenido. Las ideas para la implementación gráfica llegaron casi por sí solas.

¿Cómo construiste la historia aún más?

Con la decisión básica para los cuatro personajes principales y el mundo submarino, definimos a continuación los diferentes desafíos para cada personaje. El objetivo del viaje: La liberación de la prohibición del phishing, para que la gente vuelva a la superficie del agua. Junto con nuestros compañeros de G DATA, decidimos presentar al grupo de perpetradores de una manera más diferenciada y dejar que los atacantes actúen desde la superficie del agua. Por lo tanto, en el tercer entrenamiento presentamos el script kiddie, el phisher del estado-nación y el spear phisherin. De esta manera, el procedimiento de los atacantes se puede presentar con más detalle y ofrece un buen cambio de perspectiva. Trabajar en estas personas «malvadas» fue muy divertido. Por supuesto, siempre estuvimos en estrecho contacto con los expertos de la academia G DATA. Nos acompañaron de cerca en cada paso, en los personajes, el diseño, la jerga técnica y siempre estuvieron a nuestro lado con su experiencia.

¿Qué te atrajo del proyecto?

Este proyecto se destaca claramente de otras capacitaciones, con la historia genial y la implementación gráfica. Uno de los deseos de G DATA, por ejemplo, era muchas interacciones y una historia animada. Es por eso que, por ejemplo, siempre hemos instalado GIF para que todo tenga movimiento: una computadora parpadeante o murciélagos revoloteando. Un desafío era contar una historia consistente de principio a fin que siguiera siendo comprensible para los usuarios. Queríamos evitar errores lógicos.

¿Ha cambiado su propia actitud hacia los correos electrónicos a través de esta serie de capacitación?

Mi conocimiento de la seguridad de TI ha cambiado significativamente porque he trabajado muy intensamente en los textos. Y con mis colegas en el equipo, también hemos acordado repetidamente el contenido y las posibles trampas. Por ejemplo, ni siquiera sabía que el phishing también es posible a través de SMS o llamadas; de hecho, durante la fase del proyecto recibí dos SMS con un supuesto seguimiento de envíos para paquetes. Por supuesto, inmediatamente sospeché porque no había ordenado nada. También compartí esta experiencia con mis colegas y en la familia, porque ya es desagradable.

¿Hay algún punto en los entrenamientos que haya sido nuevo o sorprendente para ti?

Intentamos incorporar ejemplos reales en los entrenamientos para mantenernos lo más cerca posible de la realidad. Aquí, también, podríamos confiar en el apoyo activo de G DATA. Para que los alumnos puedan implementarlo directamente en la vida cotidiana. Es por eso que me sentí atrapado en un momento u otro cuando entendí por qué los phishers hacen esto. Explotan el comportamiento humano helado cuando generan presión, por ejemplo. Por lo tanto, en situaciones estresantes, ahora me aseguro de poner el freno y cuestionar un correo electrónico del que no estoy seguro.

¿De qué estás orgulloso? ¿Qué hiciste bien?

Estoy orgulloso de todo el proceso de aprendizaje porque hemos logrado una calidad muy alta a lo largo de toda la serie, en diseño, interacciones y tecnología.

En el curso de la concepción, el spear phisher se convirtió en mi personaje favorito. Fue muy divertido desarrollar a esta persona. Por cierto, el poder de las imágenes es particularmente evidente aquí. Especialmente la imagen final en la película de introducción al módulo «Los métodos de phishing» y la imagen final de este entrenamiento expresan su carácter en gran medida.

¿Tienes curiosidad por saber cómo son los entrenamientos? Echa un vistazo a nuestra versión de prueba gratuita.

Enlace: Entrenamiento de phishing: el poder de las imágenes | G DATOS (gdata.de) Blog de   G DATA   Stefan Karpenstein