La mayoría de los intentos de phishing están dirigidos a empleados. Según Statista, 87% de los ataques de este tipo ocurren durante la semana laboral.
En la mayoría de los casos, los expertos cibernéticos afirman que el phishing exitoso conduce al robo de datos, credenciales filtradas u otras actividades delictivas, como robo de identidad o solicitudes de rescate.
Este tipo de infracciones pueden poner en peligro muchas vidas de las empresas que poseen información confidencial sobre sus usuarios, equipos y negocios.
Los candidatos a puestos de trabajo conocedores de la tecnología también son susceptibles a esta amenaza. Microsoft advirtió recientemente sobre estafadores que envían invitaciones de trabajo falsas personalizadas al personal de TI y a los ingenieros de software.
Spear phishing es diferente a otras estafas. Los piratas informáticos que confían en esta técnica descubrirán todo lo que puedan sobre su objetivo antes de acercarse a él.
Recorrerán sus redes sociales y páginas de empresa. Se prestará especial atención a LinkedIn. Una simple búsqueda en Google revelará qué hacen en la empresa, qué tipo de trabajo buscan, con quién socializan, quién es su trabajo, cómo hablan y más.
Por lo tanto, es muy probable que los equipos sean atacados con lanzas exitosas. ataques de phishing. ¿Qué pueden hacer las empresas para protegerlos?
Implementar la capacitación de los empleados
In los riesgos de seguridad cibernética, el Spear phishing se incluye entre los ataques de ingeniería social en los que los delincuentes se dirigen a personas dentro de la empresa a través de las cuales podrían obtener un acceso más profundo a la red.
Los humanos son el eslabón más débil si carecen de formación en ciberseguridad, porque muchas personas:
- Cree que nunca caerían en una estafa.
- El hackeo implica métodos altamente técnicos.
La capacitación cierra la brecha entre los mitos comunes que creen los trabajadores cuando se trata de ciberseguridad. Además, les enseña conciencia y todo sobre las señales de que un hacker está al otro lado de la pantalla.
Les recuerda que la mayor parte de la piratería no es de naturaleza altamente técnica, sino que los actores de amenazas tienden a "piratear a las personas" antes de intentar violar los sistemas.
Introducir formación en ciberseguridad puede ayudar a los empleados a reconocer amenazas comunes como el phishing (en sus distintas versiones), otras técnicas de piratería informática dirigidas a los trabajadores, e informarles sobre las mejores prácticas en seguridad (por ejemplo, cómo configurar un contraseña segura).
Reconsiderar el contenido publicado en LinkedIn
Como se mencionó, cuando los actores de amenazas apuntan a la víctima, descubren todo lo que pueden sobre ellos y las personas con las que se asocian.
Redes sociales es la ostra de un ciberdelincuente. Proporciona toda la información que necesitan para organizar una campaña exitosa de phishing.
Los directores ejecutivos y los posibles candidatos a puestos de trabajo han estado compartiendo en LinkedIn más que nunca. Para los delincuentes, eso crea una mina de oro de información, especialmente cuando se combina con todos los datos que pueden encontrar en las redes sociales personales.
Es cierto que las redes sociales se pueden configurar como privadas y las personas que envían solicitudes pueden ser inspeccionadas antes de que tengan acceso a sus fotos personales y actualizaciones de su vida.
Sin embargo, con sitios de publicación de empleo como LinkedIn que están destinados a ser públicos, los trabajadores y los candidatos a un puesto de trabajo deberían tener más cuidado.
Al redactar la próxima publicación motivacional de LinkedIn, podría resultar valioso pensar como un delincuente y considerar si los datos de la publicación podrían revelar información comprometedora a los piratas informáticos.
Utilice filtros de correo electrónico y marque direcciones externas
Aunque el phishing puede ocurrir a través de SMS y redes sociales, los correos electrónicos siguen siendo los favoritos de los piratas informáticos. Todo el mundo tiene una dirección de correo electrónico y los trabajadores tienen al menos dos.
Para los piratas informáticos, también es fácil encontrar correos electrónicos. Aparecen en los currículums, LinkedIn y sitios web de las empresas.
Por lo tanto, es importante tener un sistema de seguridad que pueda reconocer correos electrónicos externos – de entidades e individuos con los que la empresa aún no ha estado en contacto y que están fuera de su organización.
De lo contrario, ocurren errores. Los empleados pueden hacer clic accidentalmente en el enlace del correo electrónico que creen que es de su compañero de trabajo o de un cliente potencial, pero que en realidad es malware.
Una de las razones por las que ocurre este error es que los delincuentes crean direcciones de correo electrónico similares a las que la organización utiliza para trabajar.
Por ejemplo, la dirección de correo electrónico tiene un sufijo que tiene solo una letra diferente a la utilizada por la empresa.
Si tiene prisa, es posible que el empleado ni siquiera note esa diferencia y piense que el mensaje es del jefe. Los altos mandos de la empresa podrían realizar una transferencia o enviar sus credenciales al atacante.
Al marcar el correo electrónico externo, es menos probable que se produzcan errores de este tipo durante las horas de trabajo ocupadas.
Implementar software que reconozca el Spear Phishing
Las herramientas de protección tradicionales que tienen la mayoría de las empresas, como firewalls y antivirus, a menudo no logran reconocer los análisis más sofisticados, como el phishing.
Estos correos electrónicos son personalizados y es posible que no sigan el esquema que normalmente se filtra instantáneamente en la carpeta de spam.
El software antiphishing moderno utiliza las capacidades de inteligencia artificial (IA) y procesamiento del lenguaje natural (NLP) para identificar correos electrónicos que contengan indicios de phishing.
Puede detectar los signos sutiles de phishing en el mensaje y alertar a los equipos de TI y a los trabajadores para que tomen precauciones a tiempo.
Conclusión
En pocas palabras, algunas de las principales prácticas antiphishing incluyen introducir capacitación básica en ciberseguridad para los empleados, contar con herramientas que puedan detectar ataques de phishing e incluir filtros de correo electrónico que puedan detectar correos electrónicos externos sospechosos de inmediato.
Spear phishing es uno de los muchos tipos de phishing que utilizan los delincuentes para atacar a las empresas.
En comparación con el phishing, que se centra en la cantidad y en enviar tantos correos electrónicos como sea posible con la esperanza de detectar algo, este tipo tiene mayores posibilidades de resultar en una estafa exitosa.
Es más probable que los empleados cedan ante solicitudes que creen que provienen de su jefe o de superiores en la empresa. Además, la mayoría de las personas no esperan que la estafa se adapte de manera que se dirijan a ellos específicamente.
Ser consciente de las posibles amenazas puede ayudar a las empresas a evitar ataques peligrosos y proteger a sus empleados de la filtración de datos y el acceso comprometido a los dispositivos de trabajo.
