Es una pesadilla ejecutiva y : un exitoso ataque de spear phishing que abre su red o sistema a los piratas informáticos , debido a un clic mal aconsejado. El escenario es lo suficientemente malo para su computadora personal, pero potencialmente mucho peor para su organización o negocio.

Por ahora, la mayoría de los dueños de negocios probablemente esperan que sus empleados sepan lo suficiente como para no caer en tales trucos. Pero, de nuevo, es de esperar que la mayoría de los empleados sepan qué hacer en caso de incendio. Eso no no impide que las empresas realicen simulacros de incendio.

Un comandante de combate del Ejército de EE. UU. Recientemente causó un pequeño pánico al realizar un simulacro de phishing por iniciativa propia. (1) El intento de phishing ficticio advirtió de una violación de seguridad en los empleados del Ejército Thrift Savings Plan (un plan de jubilación ampliamente utilizado en el gobierno federal) sin ningún acuerdo previo o advertencia sobre el plan de ahorro gerentes de s. Los trabajadores seleccionados fueron dirigidos a un sitio ficticio y se les dijo que iniciaran sesión y restablecieran sus contraseñas. Esto es spear phishing, un enfoque popular entre los hackers que quieren robar las credenciales del sitio web.

En este caso, el pequeño grupo de trabajadores del Ejército que recibió el mensaje falso lo envió a otros. La alarma sobre la violación de seguridad ficticia se extendió rápidamente a múltiples departamentos federales. Tomó semanas aclarar la confusión resultante.

Aunque la ejecución fue defectuosa, la idea de simular un intento de pesca con lanza tiene mucho mérito. Cuanto más a menudo pruebe a sus empleados con cebo decente, menores serán las probabilidades de que caigan en un ataque verdaderamente malicioso. Si alguien va a cometer un error, tal prueba le da un lugar inofensivo para hacerlo. Esa es la buena capacitación de los empleados 39. En efecto, estás llorando lobo para enseñarle a la gente a ignorar a los lobos.

El phishing no es el único tipo de ataque a la red del que los empleadores deben preocuparse, pero es duradero; ha preocupado a compañías y gobiernos, así como a individuos, durante la última década de una forma u otra. Hace tres años, la empresa de seguridad RSA (cuyos empleados presumiblemente deberían haber sabido mejor, si alguno de ellos lo hubiera hecho) sufrió un ataque de phishing cuando un empleado eliminó un mensaje sospechoso del sistema s carpeta de basura y abrió un archivo adjunto comprometido. Más recientemente, un ataque se centró en Forbes. Un alto ejecutivo abrió lo que ella pensó que era un enlace urgente en su iPad, permitiendo que el ejército electrónico sirio acceda a la organización de noticias s sitio web y datos de back-end. Se informó que la costosa violación de seguridad en Target el año pasado comenzó con un ataque de phishing.

La suplantación de identidad explota el elemento humano en la tecnología de una organización (# . Aunque todos los empleados deberían saber que ahora sospechan de enlaces no solicitados o inexplicables, solicitudes de datos de tarjetas de crédito o credenciales de inicio de sesión o archivos adjuntos que no esperaban, a veces las personas se descuidan. La precaución debe estar tan arraigada como para ser instintiva. Eso es donde se pueden realizar simulacros.

Las empresas, por supuesto, deben asegurarse de que sus las protecciones de malware están actualizadas, pero muchas de ellas van más allá y abordan el problema en la fuente: los seres humanos que usan software. Las compañías de energía, incluida Shell, han utilizado una variedad de ataques de correo electrónico simulados para evaluar su fuerza de trabajo, lo que a menudo demuestra la necesidad de una educación más sólida. Y una variedad de compañías, como PhishMe y Dell SecureWorks, ofrecen servicios o software destinados a hacer posible el uso de dicha simulación para educar a los empleados. El estado de Nueva York ha utilizado phishing simulado para evaluar a los empleados desde 2005, informó el Wall Street Journal el año pasado. (2)

Aunque el comandante del ejército prueba interna creó una gran angustia en Círculos del gobierno federal, creo que la teoría subyacente es sólida y necesaria. Los problemas en ese caso surgieron principalmente al usar el nombre de una agencia real sin su cooperación y actuar sin supervisión desde arriba, pero es necesario algún elemento de autenticidad percibida para una prueba adecuada. Después de todo, los intentos de phishing maliciosos intentarán parecer un remitente de confianza, ya sea un gran banco, un minorista en línea o un conocido personal.

Me gusta la idea de evaluar a los empleados, no para engañarlos o castigarlos, sino para enseñar una lección de una manera generalmente inofensiva. Este tipo de ejercicio debe ser rutinario, aunque lo suficientemente impredecible como para que sea efectivo.

Por supuesto, el próximo peligro serán las empresas de consultoría fraudulentas que ofrezcan capacitación en phishing que incluya phishing malicioso real. Los gerentes tendrán que determinar si los posibles vendedores son legítimos o si realmente planean suplantar la información que obtienen. Es una cosa más contra la cual deben protegerse los propietarios de negocios con mentalidad de seguridad.

Bienvenido al futuro.

Fuentes:

1) The Washington Post , Ido phishing: el Ejército usa el Plan de Ahorro de Ahorro en un correo electrónico falso para probar conciencia de seguridad cibernética

2) The Wall Street Journal , You Won ¡cree lo adorable que es este gatito! Haga clic para más! & Quot;

Dejar respuesta

Please enter your comment!
Please enter your name here