Conciencia de seguridad de correo electrónico para los empleados

Dado que el ciberataque evoluciona cada día, los ataques por correo electrónico siguen siendo el principal vector por el que se entrega malware a las organizaciones. Los ataques de correo electrónico siguen siendo extremadamente lucrativos para los ciberdelincuentes, y una de las razones para ello son los usuarios finales. El éxito de los ataques de correo electrónico depende en gran medida de los usuarios finales, y eso los hace extremadamente peligrosos para las organizaciones. Aprenda a educar a sus empleados sobre la seguridad del correo electrónico.

Solicite una demostración Lea el informe Forrester Wave™

La educación y la conciencia son los primeros pasos

Sólo uno, que parezca inocente, y un correo electrónico malicioso puede costar a las empresas millones de dólares e interrumpir la continuidad del negocio. Agregue a eso la sofisticación de los ataques de correo electrónico y las meticulosas técnicas de ingeniería social utilizadas, y tenemos una receta para un posible desastre cibernético. Así que además de implementar la mejor solución de seguridad de correo electrónico, las organizaciones deben educar a sus empleados sobre esquemas de correo electrónico, para crear una última línea de defensa contra estos ataques.

Técnicas comunes de ingeniería social y cómo explotan la naturaleza humana

Los ingenieros sociales saben cómo trabajan y piensan los humanos, y están más que felices de aprovechar este conocimiento. Un ingeniero social puede usar cualquiera de una serie de tácticas diferentes para lograr que su objetivo haga lo que quiere:

 

  • Uso de la autoridad: Las organizaciones se construyen como jerarquías, donde las personas en la cima están a cargo. Un ingeniero social puede hacerse pasar por alguien con autoridad y ordenar a su objetivo que tome alguna acción.
  • Encendiendo el encanto: Es más probable que las personas hagan cosas por las personas que les gustan. Un ingeniero social puede tratar de usar su carisma para influir en alguien para que haga lo que quiere.
  • Dar y recibir: Los ingenieros sociales pueden darle a su objetivo algo menor gratis. Entonces, aprovecharán el sentimiento de obligación de obtener lo que quieren.
  • Búsqueda de avales: Es más probable que las personas hagan algo que alguien pida después de apoyar públicamente a esa persona o causa. Un ingeniero social podría buscar un respaldo público de su víctima y luego pedir algo.
  • Haga lo que es popular: A la gente le gusta ser popular. Un ingeniero social hará que parezca que “todos están haciendo” lo que están tratando de engañar a un objetivo para que haga.
  • Abastecimiento escaso: Los ingenieros sociales pueden hacer que lo que ofrecen parezca escaso o como un acuerdo por tiempo limitado. Esto hace que las personas probablemente se apuren a obtenerlo (como papel higiénico durante COVID-19).

 

Los ciberdelincuentes utilizarán todas y cada una de estas tácticas para obtener acceso a la red de una organización y a información confidencial. Durante y después de la pandemia de COVID-19, con muchos empleados trabajando desde casa, las empresas son más vulnerables que antes a los ataques de phishing .

Tipos de ataques de phishing

En términos simples, un ataque de phishing es un ataque de ingeniería social realizado a través del correo electrónico o alguna otra plataforma de comunicación. Estos ataques están diseñados para que alguien haga clic en un enlace, descargue un archivo adjunto, comparta datos confidenciales o tome alguna otra acción dañina.

 

Los ataques de phishing pueden presentarse en una variedad de formas diferentes. Algunos ejemplos comunes incluyen:

 

  • Problemas de cuenta: una táctica de phishing común es decirle a alguien que hay un problema con una de sus cuentas en línea (Amazon, Netflix, PayPal, etc.). Cuando se apresuran a hacer clic en el enlace y solucionar el problema, el atacante recopila sus credenciales de inicio de sesión.
  • Business Email Compromise (BEC): un ataque BEC es un ejemplo clásico de uso de la autoridad. El atacante se hará pasar por alguien importante dentro de una organización (CEO, administración, etc.) e instruirá al objetivo para que tome una acción dañina, como enviar dinero a una cuenta que controla un atacante.
  • Factura falsa: El atacante puede disfracarse de proveedor que busca el pago de una factura pendiente. Esta estafa está diseñada para que la víctima envíe dinero al atacante o para que descargue y abra un archivo adjunto que contiene malware.
  • Documentos compartidos en la nube: los ciberdelincuentes suelen aprovechar el intercambio de documentos basado en la nube para eludir la seguridad de Office 365 y otras soluciones de seguridad integradas. A menudo, estas herramientas verificarán que un enlace sea legítimo, pero no verificarán que el documento compartido no contenga contenido malicioso. Alternativamente, un atacante puede fingir estar compartiendo un documento y mostrar una página que requiere que la víctima ingrese sus credenciales de inicio de sesión y luego las envíe al atacante.

 

Muchos de estos correos electrónicos están diseñados para parecerse a un correo electrónico legítimo. Es importante tomarse un segundo para validar un correo electrónico antes de confiar en él.

Qué buscar en un correo electrónico malicioso

Obviamente, los correos electrónicos de phishing están diseñados para parecer lo más plausibles posible para maximizar la probabilidad de engañar a la víctima. Sin embargo, existen algunas señales de advertencia que apuntan a un correo electrónico malicioso:

 

  • Dirección del remitente: Los sufistas suelen usar direcciones de correo electrónico que parecen confiables o legítimas en sus ataques. Siempre verifique la dirección del remitente en busca de errores, pero recuerde que un atacante puede haber comprometido la cuenta real y la está usando para su ataque.
  • Saludo: La mayoría de las empresas personalizan sus correos electrónicos dirigiéndolos a su destinatario por su nombre, pero es posible que un supero no sepa el nombre que va con una dirección de correo electrónico en particular. Si un saludo es demasiado general, como "Estimado cliente", puede ser un correo electrónico de phishing.
  • Tono y gramática: a menudo, un correo electrónico de phishing no sonará bien e incluirá problemas de ortografía y gramática. Si un correo electrónico parece fuera de marca para el remitente, probablemente sea malicioso.
  • Enlaces no coincidentes: Puede verificar el destino de un enlace en un correo electrónico en una computadora colocando el cursor sobre él con su mouse. Si el enlace no va a donde debería, es probable que el correo electrónico sea malicioso.
  • Tipos de archivos adjuntos extraños: los correos electrónicos de phishing se utilizan con frecuencia para difundir malware. Si recibe una "factura" que es un archivo ZIP, un ejecutable o algo inusual, probablemente se trate de malware.
  • El empujón: Los correos electrónicos de phishing están diseñados para lograr que la víctima haga algo. Si un correo electrónico incita un sentido de urgencia o impulsa una acción en particular, entonces puede ser malicioso.

La importancia de la conciencia de seguridad del correo electrónico

El conocimiento de la seguridad del correo electrónico es esencial para proteger a una organización contra ataques de correo electrónico. Capacitar a los empleados para que reconozcan los signos de un correo electrónico de phishing (especialmente los pretextos y técnicas que son populares actualmente) ayuda a reducir la probabilidad de que hagan clic en un enlace malicioso o abran un archivo adjunto.

 

También es bueno enseñar a los empleados a informar correos electrónicos sospechosos de phishing al equipo de seguridad o de TI de su organización. Esto les permite investigar y responder en caso de que algún otro empleado cayera en el phishing.

 

Sin embargo, incluso con el mejor programa de capacitación, en ocasiones un correo electrónico de phishing tendrá éxito y, en muchos casos, las funciones de seguridad del correo electrónico en la nube integradas en su solución de correo electrónico no podrán detectar el ataque. Para empezar, invertir en una solución de seguridad de correo electrónico especializada es una buena opción para evitar que estos correos electrónicos maliciosos lleguen a los usuarios.

x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing. Al seguir usando este sitio web, usted acepta el uso de cookies. Para obtener más información, lea nuestro Aviso de cookies.