Taula de continguts:
Vídeo: Hippie Sabotage - Devil Eyes (Setembre 2024)
Crec que la primera vegada que vaig veure un correu electrònic de phishing va ser el 2000, mentre treballava en un projecte de proves amb Oliver Rist, que ara és l'editor empresarial de PCMag. Un matí tots dos vam rebre correus electrònics amb la temàtica "T'estimo", que també era el cos de correu electrònic i hi havia un fitxer adjunt. Tots dos sabíem a l’instant que el correu electrònic havia de ser fals perquè, com a editors de revistes, sabíem que ningú ens estimava. No hem fet clic al fitxer adjunt. De fet, estàvem actuant com a tallafocs humans. Vam reconèixer un correu electrònic fals a la vista i el vam suprimir en lloc de deixar que el seu contingut es difongués als nostres ordinadors i a la resta de la xarxa.
Humans: encara un vector d’atac líder
La raó per la qual els correus electrònics de phishing són tan coneguts és perquè són tan habituals. Ara per ara, és just dir que qualsevol persona amb un compte de correu electrònic hagi rebut algun moment un correu electrònic de phishing. El correu electrònic pretén ser del vostre banc, de la vostra empresa de targetes de crèdit o d’alguna altra empresa que freqüeu. Però els correus electrònics de phishing també poden ser una amenaça per a la vostra organització, ja que els atacants intenten utilitzar els seus empleats contra tu. Una altra versió primerenca d’aquest atac es va produir durant l’època daurada del fax quan els atacants simplement enviaran per fax una factura per serveis que mai no es van prestar a les grans empreses, amb l’esperança que els executius ocupats els enviaran simplement per pagar.
La realització de phishing és sorprenentment eficaç. Segons un estudi del despatx d’advocats BakerHostetler, que va examinar 560 incompliments de dades l’any passat, el phishing és la principal causa d’incidents de seguretat de dades en l’actualitat.
Malauradament, la tecnologia no ha aconseguit els atacs de pesca. Tot i que hi ha diversos dispositius de seguretat i paquets de programari dissenyats per filtrar correus electrònics maliciosos, els dolents que emeten correus electrònics de phishing estan treballant de valent per assegurar-se que els atacs es posin per les esquerdes. Un estudi de Cyren demostra que l'exploració per correu electrònic té una taxa de fracàs del 10, 5 per cent en trobar correus electrònics maliciosos. Fins i tot en una petita empresa (SMB), que pot afegir molts missatges de correu electrònic i qualsevol dels que continguin un atac d’enginyeria social pot ser una amenaça per a la vostra organització. I no una amenaça general, com seria el cas de la majoria de programari maliciós que aconsegueixen colpejar-se per les vostres mesures de protecció final, sinó que el tipus més sinistre dirigit específicament a les vostres dades i recursos digitals més valuosos.
Durant la conversa amb Stu Sjouwerman, fundador i conseller delegat de KnowBe4, una empresa que pot ajudar als professionals dels recursos humans (RH) a ensenyar consciència sobre seguretat, em van alertar de l'informe Cyren. Va ser Sjouwerman qui va crear el terme "tallafoc humà" i qui també va parlar de "pirateria humana". El seu suggeriment és que les organitzacions puguin prevenir o reduir l’efectivitat dels atacs d’enginyeria social amb una formació constant que es fa de manera que també impliqui el vostre personal a resoldre el problema.
Per descomptat, moltes organitzacions tenen sessions de formació en sensibilització sobre seguretat. Probablement heu estat en diverses de les reunions en què el cafè vell es combina amb bunyols obsolets, mentre que un contractista contractat per RH passa 15 minuts dient-vos que no us caureu per correus electrònics de phishing, sense que us expliqui què és si heu de fer si creus que n’has trobat. Sí, aquelles reunions.
El que va suggerir Sjouwerman funciona millor és crear un entorn de formació interactiu en el qual tinguis accés a correus electrònics reals de phishing on els puguis examinar. Potser realitzeu un esforç de grup en què tothom intenti veure els factors que apunten a correus electrònics de phishing, com ara una ortografia deficient, adreces que gairebé semblen reals o les sol·licituds que, en examen, no tenen sentit (com ara sol·licitar una transferència immediata de fons corporatius per a un destinatari desconegut).
Defensant l'Enginyeria Social
Però Sjouwerman també va assenyalar que hi ha més d’un tipus d’enginyeria social. Ofereix un conjunt d'eines gratuïtes al lloc web de KnowBe4 que les empreses poden utilitzar per ajudar els seus empleats a aprendre. També va suggerir els nou passos que les empreses poden fer per combatre els atacs a l'enginyeria social.
- Creeu un tallafoc humà entrenant el vostre personal a reconèixer els atacs d’enginyeria social quan els vegin.
- Realitzeu proves freqüents d’enginyeria social simulada per mantenir els vostres empleats a peu de peu.
- Realitzeu una prova de seguretat de phishing; Knowbe4 en té un de franc.
- Estigueu pendents del frau del CEO. Es tracta d’atacs en els quals els atacants creen un correu electrònic esporàdic que sembla ser del CEO o d’un altre oficial d’alt rang, dirigint accions com ara transferències de diners de forma urgent. Podeu comprovar si es pot fer malbé el vostre domini mitjançant una eina gratuïta de KnowBe4.
- Envieu correus electrònics simulats als vostres empleats i inclogueu un enllaç que us avisarà si feu clic en aquest enllaç. Realitzeu un seguiment de quins empleats hi corresponen i dediqueu-vos a la formació en els que hi incideixen més d'una vegada.
- Estigueu preparats per "enviure", que és un tipus d'enginyeria social de veu en què es deixen missatges que intenten intervenir els vostres empleats. És possible que semblin trucades de l’aplicació de la llei, del servei d’ingressos interns (IRS) o, fins i tot, de la tecnologia de Microsoft. Assegureu-vos que els vostres empleats sàpiguen no tornar les trucades.
- Aviseu els vostres empleats a "phishing de text" o a "SMiShing (SMS phishing)", que és com el phishing de correu electrònic però amb missatges de text. En aquest cas, l'enllaç es pot dissenyar per obtenir informació sensible, com les llistes de contactes, des dels seus telèfons mòbils. Han d’estar entrenats per no tocar els enllaços dels missatges de text, fins i tot si semblen que són d’amics.
- Els atacs de bus de sèrie universal (USB) són sorprenentment efectius i són una forma fiable de penetrar en les xarxes amb aire obert. La forma de funcionar és que algú deixa les memòries USB al voltant dels banys, els aparcaments o altres llocs freqüentats pels vostres empleats; potser el pal té logotips o etiquetes atractives. Quan els empleats els trobin i els introdueixen en un ordinador pràctic, i si no se’ls ensenya d’una altra manera, llavors el programari maliciós entra a la vostra xarxa. Així va ser com el malware de Stuxnet va penetrar al programa nuclear iranià. Knowbe4 té una eina gratuïta per provar-ho també.
- L'atac a paquets també és sorprenentment efectiu. Aquí és on algú es presenta amb un braç de caixes (o de vegades pizzes) i demana que es deixi entrar perquè puguin ser lliurats. Mentre no esteu buscant, llancen un dispositiu USB a un ordinador proper. Els vostres empleats han de formar-se realitzant atacs simulats. Podeu animar-los entrenant per a això i, tot seguit, compartir les pizzes si ho aconsegueixen.
Com veieu, l’enginyeria social pot ser un autèntic repte i pot ser molt més eficaç del que voldríeu. L’única manera de lluitar-lo és implicar activament als vostres empleats en detectar aquests atacs i cridar-los. Ben fet, els vostres empleats gaudiran del procés, i potser també rebran pizzes gratuïtes.
