Introducció: Consciència de la pesca en el lloc de treball
Aquest article aclareix què Phishing és, i com es pot prevenir amb les eines i la formació adequades. El text ha estat transcrit a partir d'una entrevista entre John Shedd i David McHale de HailBytes.
Què és el phishing?
El phishing és una forma d'enginyeria social, normalment per correu electrònic, SMS o per telèfon, on els delinqüents intenten obtenir algun tipus de informació que poden utilitzar per accedir a coses a les quals no haurien de poder accedir.
Per a les persones que no ho sabien, hi ha un parell de tipus diferents d'atacs de pesca.
Quina diferència hi ha entre el phishing general i el spearphishing?
El phishing general sol ser un correu súper massiu de correus electrònics que tenen el mateix format per intentar que algú hi faci clic sense gaire esforç.
El phishing general és realment un joc de números, mentre que els delinqüents de la pesca de la pesca aniran a investigar un objectiu.
Amb el spearphishing, hi ha una mica més de preparació i la taxa d'èxit acostuma a ser molt més alta.
Com a resultat, les persones que utilitzen el spearphishing solen apuntar a objectius més valuosos. Alguns exemples inclouen comptables o directors financers que tenen la capacitat de donar-los realment alguna cosa de valor.
En Conclusió: El phishing general s'explica per si mateix amb el terme general i el phishing és més específic amb l'objectiu individual.
Com identifiqueu un atac de pesca?
Normalment, el que veuràs per a la pesca general és un nom de domini que no coincideix o un nom de remitent que no coneixes. Una altra cosa a tenir en compte és la mala ortografia o la mala gramàtica.
És possible que vegeu fitxers adjunts que no tenen gaire sentit o fitxers adjunts que són tipus de fitxers als quals normalment no accediríeu.
És possible que us demanin que feu alguna cosa que està fora del procés normal de la vostra empresa.
Quines són algunes bones pràctiques per prevenir un atac de pesca?
És important tenir-ho bé polítiques de seguretat en el seu lloc.
Hauríeu de conèixer els processos que són activitats habituals d'alt risc com l'enviament de nòmines o l'enviament de transferències bancàries. Aquests són alguns dels vectors més comuns que veiem per als delinqüents que bàsicament s'aprofiten d'aquesta confiança i després fan malbé una empresa.
Hauríeu d'entendre que si hi ha alguna cosa sospitosa, haurien d'informar-ho i disposar d'algun tipus de procés per facilitar que els usuaris demanin ajuda.
Hauríeu de saber les coses bàsiques que cal comprovar a cada correu electrònic, perquè molts usuaris no saben què buscar o simplement no ho saben.
Com ajuda Hailbytes amb la conscienciació i la formació sobre la pesca?
Oferim simulacions de pesca on enviarem a les empreses correus electrònics de pesca en què els usuaris facin clic, i podem entendre com és la seva postura de seguretat. En definitiva, podem descobrir quins usuaris són vulnerables a la seva organització.
Les nostres eines els permeten reenviar correus electrònics i obtenir un informe per entendre què passa amb els factors de risc d'aquest correu electrònic i, a continuació, l'equip de seguretat intern també rebrà aquest informe.
També tenim formació bàsica i avançada en seguretat que mostraran als usuaris moltes de les tàctiques habituals que s'utilitzen i moltes de les coses habituals que han de vigilar quan sospiten que un correu electrònic pot contenir un atac de pesca.
Punts de conclusió:
- El phishing és una forma d'enginyeria social.
- El phishing general és una forma d'atac generalitzada.
- Spearphishing implica investigar l'objectiu de la pesca i té més èxit per a l'estafador.
- tenir una política de seguretat el seu lloc és el primer pas per mitigar seguretat cibernètica amenaces.
- El phishing es pot prevenir mitjançant la formació i mitjançant simuladors de phishing.
