Header Ads Widget

Ticker

6/recent/ticker-posts

Sus Empleados Siguen Cayendo En Estafas De Phishing

 ¿Se pregunta por qué hay tantos agujeros de seguridad en su red, o cómo algunos de sus empleados parecen informar siempre sobre computadoras averiadas? Bueno, resulta que es probable que un tercio de los empleados sean víctimas de ataques de phishing. Sí, es cierto, en 2016 alrededor de un tercio de los trabajadores todavía son lo suficientemente tontos como para hacer clic en un enlace poco fiable y arriesgar toda la seguridad de la red de su empresa en el proceso.

Sus empleados siguen cayendo en estafas de phishing

Las cifras provienen de una herramienta gratuita lanzada en marzo por Duo Security para probar la seguridad de la red. Los equipos de TI de 400 empresas pusieron a prueba a 11.542 empleados mediante el envío de "correos electrónicos de phishing" para ver quién caería en la trampa. De esos destinatarios, el 31% abrió el enlace contenido en el correo electrónico, comportamiento que, si fuera un correo electrónico de phishing real en lugar de uno falso, podría causar una violación de datos en la empresa para la que trabajan.

El hecho de que solo una minoría cayera en la "estafa", con dos tercios de los examinados reconociendo el enlace como potencialmente malicioso, no es el punto, según Jordan Wright, ingeniero de I + D de Duo Security.

"Solo se necesita un correo electrónico malicioso para que un ataque tenga éxito".

"Al final del día, lo que vemos es que solo se necesita un correo electrónico malicioso para que un ataque tenga éxito", dijo Wright a  IT Pro . "El 31% puede parecer bajo, pero en realidad, sigue siendo mucha gente". De hecho, en el caso de estos resultados, el 31% son 3.578 personas, un promedio de casi nueve por negocio.

Creando una estafa de phishing

Las 400 empresas utilizaron la herramienta Duo Insight de Duo Security para enviar el correo electrónico de phishing falso a sus empleados.

"Alentamos a los administradores de TI a personalizar el correo electrónico tanto como sea posible", dijo Wright, imitando los ataques dirigidos que los piratas informáticos suelen aplicar a las empresas. Esto aumenta la probabilidad de que un destinatario abra el correo electrónico y haga clic en él.

"La gente piensa que si no ingresan sus datos, están a salvo, pero los kits de exploits pueden descargarse en la computadora sin que el usuario ingrese ninguna información".

Sin embargo, ese no es el final de la estafa. Si la página de destino solicita credenciales, los usuarios pueden oler una rata y decidir hacer clic, en lugar de entregar sus datos. Pero, aunque los usuarios pueden pensar que no sufrirán ningún daño si no han caído en el paso dos, puede que ese no sea el caso en la realidad.

"Esta es una parte realmente importante de la seguridad", dijo Wright. "La gente piensa que si no ingresan sus datos, están a salvo, pero los kits de exploits pueden descargarse en la computadora sin que el usuario ingrese ninguna información".

Sin embargo, el objetivo de este ejercicio no es sorprender a las personas o hacerlas sentir mal.

“La intención es que los administradores hagan dos cosas. En primer lugar, para elaborar sus estrategias para hacer frente a posibles ataques de phishing y, en segundo lugar, para ayudar a educar a los usuarios ”, dijo Wright. Esto es más que solo enseñarles a no hacer clic ciegamente en los enlaces, sino también, para el 59% que no hace clic, animarlos a informar un incidente a TI, ayudando a cortarlo de raíz.

Si tiene curiosidad por poner a prueba su propia empresa, puede descargar  una versión beta de Duo Insight de forma gratuita .

Publicar un comentario

0 Comentarios