Hoy en día, no es ningún secreto que a los ciberdelincuentes les encanta practicar el phishing y lanzar el anzuelo a los blancos más desprevenidos: sus empleados. En este artículo, le mostraremos las 8 señales de alarma más comunes de un correo electrónico de phishing para ayudarle a impulsar la prevención de phishing en su empresa.
¿Qué es el phishing?
El Phishinges un ciberataque ingenioso en el que remitentes de correo electrónico malintencionados se presentan como una persona/entidad de confianza para conseguir los datos y el dinero de la víctima, un juego de palabras «sospechoso». Cuanto más grande sea la empresa, más atraerá la atención no deseada y más complicadas serán las consecuencias de un ataque de este tipo.
Esta forma de fraude en línea utiliza trucos sutiles y engañosos de ingeniería social que permiten a los ciberdelincuentes, que saben qué botón psicológico apretar, robar los datos sensibles de la víctima, lo que es mucho más fácil que traspasar el sistema de seguridad de un ordenador o de una red.
Más a menudo de lo que debiera, lo «sospechoso» no es lo suficientemente «sospechoso» como para que a alguien pueda picarle el dedo y pinchar en ese tentador enlace y dar su información sensible, comprometiendo así a toda su empresa.
Prevención del phishing – ¿Cómo pueden sus empleados detectar los correos electrónicos de phishing?
Estamos de acuerdo con la mayoría de los profesionales de la seguridad en que las prácticas antiphishing de las organizaciones deben incluir una formación periódica y eficaz de formación en seguridad para enseñar a sus empleados a detectar las señales de alarma de un correo electrónico de phishing. Esto es necesario sobre todo porque los autores de las amenazas siempre encuentran la forma de colar un correo electrónico malicioso en la bandeja de entrada de uno de sus empleados sin que lo detecten los controles tecnológicos habituales.
Los correos electrónicos de phishing suelen ser muy sofisticados y difíciles de distinguir de los auténticos. Están diseñados para evadir la detección durante las pruebas del front-end de un filtro de correo electrónico al tener los marcos de políticas de remitente y los controles SMTP adecuados.
Una vez que el correo electrónico de phishing llega a la bandeja de entrada de un objetivo, la única defensa que queda contra un ataque potencialmente devastador es la vigilancia de sus empleados.
Hemos recopilado una lista de 8 formas de reconocer las características que suelen aparecer en los correos electrónicos de phishing y mejorar las prácticas antiphishing en su empresa:
1. Correos electrónicos en los que se pide repetidamente al destinatario que tome medidas urgentes
Los infractores utilizan esta estrategia para distraer al objetivo o provocar estrés o pánico. Normalmente, este tipo de correo electrónico también incluye una consecuencia negativa si el empleado no realiza la acción requerida. Nadie quiere quedar mal delante de su jefe, por lo que los objetivos están tan dispuestos a evitar la consecuencia negativa que pasan por alto las incoherencias o los indicios de que el correo electrónico puede ser falso.
2. Correos electrónicos con errores ortográficos
La mayoría de las organizaciones utilizan ahora funciones de corrección ortográfica en los clientes de correo electrónico o los navegadores web para garantizar que las comunicaciones mantienen un aspecto limpio y profesional. Los correos electrónicos que simulan provenir de una fuente profesional y reputada y que contienen errores ortográficos o gramaticales deben estudiarse cuidadosamente y tratarse con recelo.
3. Correos electrónicos con un saludo poco familiar
Normalmente, los correos electrónicos enviados por amigos y compañeros de trabajo comienzan con un saludo informal. Los que se dirigen a «Querida Jane» cuando ese saludo no se utiliza normalmente, y los que utilizan un idioma no conocido no deben ser objeto de acción o respuesta. En cambio, lo que deberían hacer sus empleados es informar al equipo de seguridad informática de la empresa.
4. Correos electrónicos enviados desde direcciones desconocidas
Sus empleados deben comprobar siempre la dirección de correo electrónico del remitente, especialmente cuando una dirección de correo electrónico perteneciente a un contacto habitual no les resulte familiar. Es posible detectar incoherencias comprobando la dirección del remitente con los correos electrónicos anteriores recibidos de la misma persona y evitar un desastre.
5. Correos electrónicos con enlaces y nombres de dominio sospechosos
Los delincuentes pueden disfrazar fácilmente los enlaces a sitios web maliciosos para que parezcan auténticos. Por lo tanto, es aconsejable el método clásico de pasar el puntero del ratón por encima para ver qué «aparece».
6. Correos electrónicos con archivos adjuntos sospechosos
Las herramientas de colaboración como Dropbox, OneDrive o SharePoint se utilizan ampliamente para compartir archivos, por lo que los correos electrónicos con archivos adjuntos procedentes de otros compañeros deben tratarse con precaución, especialmente si el archivo adjunto tiene una extensión desconocida o una que se utiliza habitualmente para distribuir malware (.zip, .exe, .scr, etc.).
7. Correos electrónicos demasiado buenos para que sean reales
En general, si algo parece demasiado bueno para ser cierto, lo más probable es que no lo sea. Lo mismo ocurre con los correos electrónicos de suplantación de identidad, que los atacantes elaboran para que el objetivo pulse un enlace o abra un archivo adjunto con la falsa promesa de un beneficio.
8. Correos electrónicos que solicitan datos confidenciales
A menudo, los correos electrónicos de phishing solicitan credenciales de inicio de sesión, información de pago u otros datos confidenciales, alegando que el empleado necesita actualizar una contraseña, proporcionar detalles de pago, realizar una transferencia bancaria, etc. Por lo tanto, cualquier correo electrónico que los solicite debe ser tratado con precaución.
Entrene a sus empleados con los simulaciones de phishing de ATTACK Simulator
¿Piensa que va a esquivar la bala (o el gancho)? Piénselo de nuevo. Las cifras pintan un panorama de ciberdelincuencia bastante sombrío.
Los ataques de phishing pueden ser catastróficos, provocando inmensos daños financieros o incluso el fin de su negocio.
La formación en materia de seguridad para sus empleados es necesaria por muchas razones:
- Para prevenir los ciberataques y las brechas de seguridad
- Para reforzar sus defensas tecnológicas
- Para atraer más clientes
- Para que usted sea más responsable socialmente
- Para empoderar a sus empleados
- Para cumplir las normas de conformidad
- Para evitar los tiempos de inactividad y mantener una buena reputación
Nuestras simulaciones realistas de phishing expondrán a sus empleados a ataques de phishing falsos, pero inspirados en la vida real.
Estas son algunas de las increíbles ventajas al elegirnos:
- Simulación automatizada de ataques: simulamos todo tipo de ciberataques: phishing, malware, ransomware, spear-phishing, robo de identidad, ataques a la privacidad en línea, estafas en línea, etc.
- Escenarios de la vida real: evaluamos la vulnerabilidad de los usuarios a la hora de revelar datos personales o relacionados con la empresa mediante páginas web realistas.
- Análisis del comportamiento de los usuarios: reunimos los datos de los usuarios y los recopilamos en extensos informes para ofrecerle una imagen detallada sobre el nivel de conciencia de la seguridad de sus empleados.
- Réplicas de archivos maliciosos: nuestros correos electrónicos contienen réplicas de archivos maliciosos, para que la simulación sea lo más realista posible.
- Lecciones interactivas: si los empleados no reconocen nuestras trampas y caen en alguna, serán redirigidos a páginas de aterrizaje con lecturas rápidas sobre las mejores prácticas de seguridad.
- Simulamos marcas populares en nuestras páginas de phishing para que el usuario se sienta más atraído a hacer clic en la URL o a abrir el archivo adjunto en el correo electrónico.
El programa de formación sobre seguridad de ATTACK Simulator le ayudará a proporcionar a sus empleados los conocimientos de seguridad necesarios y las prácticas de seguridad actualizadas para mantener su empresa a salvo de los estafadores y evitar daños potencialmente irremediables.
Dicho todo esto, ¿picarían sus empleados el anzuelo? Compruebe su eficacia con nuestra prueba gratuita de formación en materia de seguridad y lo sabrá con certeza.
Atribución:
Imagen destacada: Foto por Anne Nygård en Unsplash
