¿Puedes atrapar todo el phishing? ¡Toma el nuevo QUIZ de phishing IQ de SonicWall y descúbrelo!
Pruebe su capacidad para identificar correos electrónicos fraudulentos y vea qué tan susceptible es realmente a la ingeniería social y las estafas de phishing.
A veces te das cuenta solo una fracción de segundo demasiado tarde. Una ola de terror pasa sobre ti mientras te preguntas: ¿En qué acabo de hacer clic? ¡Creo que realmente me he equivocado!
Si esto te suena familiar, no te castigues. Ser engañado por una buena estafa de phishing puede sucederle a los mejores de nosotros, y te estás uniendo a millones de víctimas inocentes en todo el mundo que han hecho lo mismo.
Pero también es importante tomar medidas inmediatas y saber qué debe hacer para evitar repetir el error. El elemento humano contribuye al 82% de las infracciones, según el DBIR de Verizon 2022. Además de emplear tecnologías de seguridad para prevenir ataques de phishing, las empresas también deben adoptar un enfoque de línea dura para educar a las personas sobre cómo detectar correos electrónicos de phishing.
Para ayudar a evitar que los estafadores de correo electrónico continúen sacando lo mejor de nosotros, SonicWall se complace en anunciar nuestro nuevo cuestionario de phishing en línea. Este cuestionario está diseñado para ayudar a educar a los usuarios sobre cómo reconocer los signos comunes de un correo electrónico de phishing. Y debido a que es interactivo, es más atractivo e informativo que un simple correo electrónico o folleto.
El correo electrónico es a menudo el primer vector de ataque.
Según las lecciones de las violaciones de datos pasadas, esos ataques exitosos implican el uso de múltiples tácticas, técnicas y procedimientos (TTP) para comprometer al usuario. Además, en esos eventos, el correo electrónico fue el primero en entregar al menos uno de los siguientes:
- La URL inicial, en forma de enlace a un kit de explotación o sitio web de phishing
- El archivo adjunto malicioso, en forma de gotero o carga útil
- Un mensaje de pretexto que se convierte en el punto de partida de un ataque de ingeniería social, manipulando a los usuarios para que renuncien a sus credenciales, envíen dinero, divulguen datos confidenciales, etc.
Hoy en día, estamos viendo ataques dirigidos de phishing y pretextos que están muy bien desarrollados. La apariencia genuina de estos correos electrónicos enviados desde identidades robadas o falsas puede engañar incluso a los usuarios más conscientes de la seguridad. Además, los profesionales de seguridad con los que hablamos dijeron que todavía ven a los usuarios haciendo clic en correos electrónicos de phishing porque no pueden discernir los correos electrónicos legítimos de los falsos.
Las tácticas, técnicas y procedimientos de phishing (TTP) son demasiado inteligentes.
A medida que los proveedores de seguridad crean nuevas capacidades para proteger a los usuarios de los correos electrónicos de phishing que eluden los filtros previos a la entrega, los atacantes están igualmente dedicados a crear formas más inteligentes de llegar a la bandeja de entrada. Un ejemplo de estos ataques es un correo electrónico de phishing dirigido de bajo volumen y alta calidad que parece provenir de Microsoft 365 o Gmail, como se muestra a continuación.
Este correo electrónico falso se renderiza profesionalmente y está personalizado para usuarios específicos, a diferencia de las campañas tradicionales de rociado y oración de alto volumen del pasado. Estos ataques son sofisticados tanto en su capacidad para llegar a la bandeja de entrada como en la experiencia del usuario en el back-end. Cada enlace abre la ventana de inicio de sesión de la segunda página del desafío de la cuenta, que rellena previamente la dirección de correo electrónico del usuario. Ya sabe quién eres.
La curva de innovación de phishing ahora está ocurriendo después de la entrega, como en el ejemplo anterior. En otras palabras, en lugar de poner la URL maliciosa en el correo electrónico, los phishers se vinculan a un servidor de redireccionamiento que actúa como puerta de enlace, enviando consultas de una empresa de seguridad a un sitio benigno. Por el contrario, las consultas procedentes de las víctimas previstas se dirigen al servidor de phishing.
Los métodos de ofuscación desarrollados a lo largo de los años incluyen engaño de identidad, redirecciones múltiples, divisiones de URL, manipulación de etiquetas HTML, malware polimórfico y scripts ofuscados dinámicos, por nombrar algunos. Hemos visto a hackers expertos combinar numerosas técnicas de ofuscación dentro de campañas de phishing dirigidas para ocultar la verdadera intención de la página de destino, que a menudo es una página de recolección de credenciales.
Las personas no son perfectas.
“Los seres humanos no son criaturas de la lógica; Somos criaturas de emoción. Y no nos importa lo que sea verdad. Nos importa cómo se siente”, dijo Will Smith, un famoso actor, rapero y quizás incluso filósofo de nuestra generación. Estas palabras tienen una profunda conexión con aquellos que viven y respiran ciberseguridad. La noción de que mientras las emociones humanas puedan ser manipuladas, alguien probablemente cometerá un grave error subraya uno de los muchos desafíos complejos que los profesionales de la seguridad deben solucionar, pero no se puede abordar solo a través de la tecnología. Si bien las tecnologías de prevención de phishing son necesarias, también es esencial establecer un programa de concientización sobre ciberseguridad.
Aumente la conciencia de los empleados con SonicWall Phishing Quiz.
Además de avanzar en las tecnologías de inteligencia artificial y aprendizaje automático dentro de las herramientas de seguridad, las inversiones de SonicWall en entrenar a los humanos para resistir el engaño humano son parte de un esfuerzo más significativo para ayudar a las personas a convertirse en parte de la solución en lugar de ser parte del problema.
La creencia de que la seguridad se basa solo en los profesionales de la seguridad y sus tecnologías es peligrosa, porque cuando un correo electrónico de phishing invariablemente llega a la bandeja de entrada, no hay más línea de defensa. Para reducir este factor de riesgo humano se requiere una cultura y un ajuste de mentalidad a nivel corporativo e individual, con el objetivo de lograr que todos piensen conscientemente y se involucren proactivamente para convertirse en una parte interesada clave en la seguridad de una organización.
De una manera simple pero efectiva, el SonicWall Phishing Quiz alienta a las personas a mantenerse al tanto y ejercer una sospecha saludable al revisar y responder correos electrónicos. El cuestionario le permite examinar interactivamente una serie de correos electrónicos de muestra, incluidos enlaces incrustados, para probar su intuición y conocimiento para distinguir correos electrónicos legítimos de correos electrónicos de phishing.
Para medir su propia capacidad para detectar correos electrónicos de phishing, realice el cuestionario de phishing de SonicWall hoy.
Blog original de KEN DANG SR. Product Marketing Manager | SonicWall
Consulta el post original y contenido relacionado aquí.
¿Algún proyecto de ciberseguridad o telecomunicaciones? Contacta con nosotros y con gusto te ayudaremos sin compromisos.