Consciència de la pesca: com passa i com prevenir-ho
Per què els delinqüents utilitzen un atac de pesca?
Quina és la vulnerabilitat de seguretat més gran d'una organització?
La gent!
Sempre que vulguin infectar un ordinador o accedir a importants informació com ara números de compte, contrasenyes o números PIN, tot el que han de fer és preguntar.
Phishing Els atacs són habituals perquè són:
- Fàcil de fer – Un nen de 6 anys podria realitzar un atac de pesca.
- Escalable – Van des d'atacs de pesca amb llança que afecten una persona fins a atacs a tota una organització.
- Molt eficaç - 74% de les organitzacions han experimentat un atac de pesca amb èxit.
- Credencials del compte de Gmail: $80
- PIN de la targeta de crèdit - $20
- Credencials bancàries en línia per als comptes amb almenys $ 100 en ells - $40
- Comptes bancaris amb almenys $ 2,000 - $120
Probablement penseu: "Uau, els meus comptes van pel dòlar inferior!"
I això és cert.
Hi ha altres tipus de comptes que tenen un preu molt més alt perquè són més fàcils de mantenir les transferències de diners anònimes.
Els comptes que contenen criptografia són el jackpot per als estafadors de pesca.
Les tarifes vigents per als comptes criptogràfics són:
- Coinbase - $610
- Blockchain.com - $310
- Binance - $410
També hi ha altres motius no financers per als atacs de pesca.
Els estats-nació poden utilitzar els atacs de pesca per piratejar altres països i explotar les seves dades.
Els atacs poden ser per venjances personals o fins i tot per destruir la reputació de les corporacions o dels enemics polítics.
Les raons dels atacs de pesca són infinites...
Com comença un atac de pesca?
Un atac de pesca generalment comença amb el criminal que surt directament i us envia missatges.
Et poden donar una trucada telefònica, un correu electrònic, un missatge instantani o un SMS.
Podrien afirmar que són algú que treballa per a un banc, una altra empresa amb la qual feu negocis, una agència governamental o fins i tot pretenent ser algú de la vostra pròpia organització.
Un correu electrònic de pesca pot demanar-vos que feu clic a un enllaç o que baixeu i executeu un fitxer.
Potser penseu que és un missatge legítim, feu clic a l'enllaç del seu missatge i inicieu sessió al que sembla ser el lloc web de l'organització en la qual confieu.
En aquest moment, l'estafa de pesca s'ha completat.
Has lliurat la teva informació privada a l'atacant.
Com prevenir un atac de pesca
La principal estratègia per evitar atacs de pesca és formar els empleats i crear consciència organitzativa.
Molts atacs de pesca semblen correus electrònics legítims i poden passar per un filtre de correu brossa o filtres de seguretat similars.
A primera vista, el missatge o el lloc web poden semblar reals amb un disseny de logotip conegut, etc.
Afortunadament, detectar atacs de pesca no és tan difícil.
El primer que cal tenir en compte és l'adreça del remitent.
Si l'adreça del remitent és una variació del domini d'un lloc web al qual esteu acostumats, és possible que vulgueu procedir amb precaució i no fer clic a res del cos del correu electrònic.
També podeu consultar l'adreça del lloc web on se us redirigirà si hi ha enllaços.
Per estar segur, heu d'escriure l'adreça de l'organització que voleu visitar al navegador o utilitzar els preferits del navegador.
Compte amb els enllaços que, quan es passa el cursor, mostren un domini que no és el mateix que l'empresa que envia el correu electrònic.
Llegeix amb atenció el contingut del missatge i sigues escèptic amb tots els missatges que et demanen que enviïs les teves dades privades o que verifiquis informació, ompliu formularis o baixeu i executeu fitxers.
A més, no deixeu que el contingut del missatge us enganyi.
Sovint, els atacants intenten espantar-vos perquè feu clic a un enllaç o us recompensen per obtenir les vostres dades personals.
Durant una pandèmia o una emergència nacional, els estafadors de pesca s'aprofitaran de les pors de la gent i utilitzaran el contingut de l'assumpte o el cos del missatge per espantar-vos perquè prenguis mesures i facis clic en un enllaç.
A més, comproveu si hi ha errors ortogràfics o gramaticals al missatge de correu electrònic o al lloc web.
Una altra cosa a tenir en compte és que la majoria de les empreses de confiança no solen demanar-vos que envieu dades sensibles per web o correu.
És per això que mai no hauríeu de fer clic en enllaços sospitosos ni proporcionar cap tipus de dades sensibles.
Què faig si rebo un correu electrònic de pesca?
Si rebeu un missatge que sembla un atac de pesca, teniu tres opcions.
- Esborra-ho.
- Verifiqueu el contingut del missatge contactant amb l'organització a través del seu canal de comunicació tradicional.
- Podeu reenviar el missatge al vostre departament de seguretat informàtica per a més anàlisis.
La vostra empresa ja hauria de revisar i filtrar la majoria dels correus electrònics sospitosos, però qualsevol pot convertir-se en víctima.
Malauradament, les estafes de pesca són una amenaça creixent a Internet i els dolents sempre desenvolupen noves tàctiques per accedir a la vostra safata d'entrada.
Tingueu en compte que, al final, sou l'última i més important capa de defensa contra els intents de pesca.
Com aturar un atac de pesca abans que passi
Atès que els atacs de pesca depenen de l'error humà per ser efectius, la millor opció és formar la gent del vostre negoci sobre com evitar l'esquer.
Això no vol dir que hàgiu de tenir una gran reunió o seminari sobre com evitar un atac de pesca.
Hi ha millors maneres de trobar llacunes en la vostra seguretat i millorar la vostra resposta humana a la pesca.
2 passos que podeu seguir per prevenir una estafa de pesca
A simulador de pesca és un programari que us permet simular un atac de pesca a tots els membres de la vostra organització.
Els simuladors de pesca solen incloure plantilles per ajudar a disfressar el correu electrònic com a venedor de confiança o imitar formats de correu electrònic intern.
Els simuladors de pesca no només creen el correu electrònic, sinó que ajuden a configurar el lloc web fals que els destinataris acabaran introduint les seves credencials si no passen la prova.
En lloc de renyar-los per caure en una trampa, la millor manera de gestionar la situació és proporcionar informació sobre com avaluar els correus electrònics de pesca en el futur.
Si algú falla una prova de pesca, el millor és enviar-li una llista de consells per detectar correus electrònics de pesca.
Fins i tot podeu utilitzar aquest article com a referència per als vostres empleats.
Un altre avantatge important d'utilitzar un bon simulador de pesca és que podeu mesurar l'amenaça humana a la vostra organització, que sovint és difícil de predir.
Pot trigar fins a un any i mig formar els empleats a un nivell segur de mitigació.
És important triar la infraestructura de simulació de pesca adequada per a les vostres necessitats.
Si feu simulacions de pesca en una empresa, la vostra tasca serà més fàcil
Si sou un MSP o MSSP, és possible que hàgiu de fer proves de pesca a diverses empreses i ubicacions.
Optar per una solució basada en núvol seria la millor opció per als usuaris que realitzen diverses campanyes.
A Hailbytes, hem configurat GoPhish, un dels marcs de pesca de codi obert més populars com a instància fàcil d'utilitzar a AWS.
Molts simuladors de pesca vénen en el model Saas tradicional i tenen contractes estrets associats amb ells, però GoPhish a AWS és un servei basat en núvol on pagueu a una tarifa mesurada en lloc d'un contracte d'1 o 2 anys.
Pas 2. Formació de conscienciació sobre seguretat
Un avantatge clau de donar als empleats consciència de seguretat La formació els protegeix del robatori d'identitat, el robatori bancari i el robatori de credencials comercials.
La formació en consciència de seguretat és essencial per millorar la capacitat dels empleats per detectar intents de pesca.
Els cursos poden ajudar a formar el personal per detectar intents de pesca, però només alguns se centren en les petites empreses.
Pot ser temptador per a vostè, com a propietari d'una petita empresa, reduir els costos d'un curs enviant alguns vídeos de Youtube sobre consciència de seguretat...
però personal poques vegades recorda aquest tipus d'entrenament durant més d'uns quants dies.
Hailbytes té un curs que inclou una combinació de vídeos ràpids i proves perquè pugueu fer un seguiment del progrés dels vostres empleats, demostrar que hi ha mesures de seguretat i reduir massivament les vostres possibilitats de patir una estafa de pesca.
Pots consultar el nostre curs a Udemy aquí o fer clic al curs següent:
Si esteu interessats a executar una simulació gratuïta de pesca per formar els vostres empleats, aneu a AWS i consulteu GoPhish!
És fàcil començar i sempre pots contactar amb nosaltres si necessites ajuda per configurar-te.
