Ponga a prueba su capacidad de identificar emails fraudulentos, y descubra cuál es su nivel real de susceptibilidad ante la ingeniería social y las estafas de phishing.
Ponga a prueba su capacidad de identificar emails fraudulentos, y descubra cuál es su nivel real de susceptibilidad ante la ingeniería social y las estafas de phishing.
A veces se da cuenta una fracción de segundo demasiado tarde. Le invade una sensación de terror mientras piensa: ¿Dónde acabo de hacer clic? Creo que la acabo de fastidiar.
Si esto le resulta familiar, no se torture. Una buena estafa de phishing puede engañar hasta al más experto, y hay millones de víctimas inocentes en todo el mundo que se han visto en la misma situación.
Sin embargo, también es importante que reaccione inmediatamente y que sepa lo que debe hacer para evitar que el error se repita. Según el Informe de investigación sobre filtración de datos (DBIR) 2022 de Verizon, el elemento humano contribuye al 82% de las filtraciones. Además de implementar tecnologías de seguridad para prevenir los ataques de phishing, las empresas deben adoptar un enfoque riguroso a la hora de enseñar a sus trabajadores cómo detectar los emails de phishing.
Para ayudar a evitar que los estafadores por email sigan ganándonos la batalla, en SonicWall tenemos el placer de anunciar nuestro nuevo test de phishing online. Este test está diseñado para ayudar a enseñar a los usuarios a reconocer las características comunes de un email de phishing. Por otra parte, al ser interactivo, resulta más atractivo e informativo que un simple email o folleto.
El correo electrónico a menudo es el primer vector de ataque.
De filtraciones de datos del pasado, hemos aprendido que los ataques exitosos a menudo utilizan diversidad de tácticas, técnicas y procedimientos (TTP) para comprometer al usuario. Además, sabemos que en esos casos, el email fue el primero en entregar por lo menos uno de los siguientes elementos:
- La URL inicial, en forma de enlace a un kit de exploit o a una página Web de phishing.
- El archivo adjunto malicioso, en forma de descarga oculta o carga útil
- Un mensaje de pretexting que se convierte en el punto de partida de un ataque de ingeniería social basado en la manipulación de los usuarios para que faciliten sus credenciales, envíen dinero, revelen datos sensibles, etc.
Hoy en día, vemos ataques específicos de phishing y de pretexting muy bien diseñados. Estos emails enviados desde identidades robadas o falsas parecen tan auténticos que pueden engañar incluso a los usuarios más concienciados sobre la seguridad. Además, los profesionales de la seguridad con los que hemos hablado, nos han dicho que todavía ven a usuarios hacer clic en emails de phishing porque no son capaces de distinguir los emails legítimos de los falsos.
Las tácticas, las técnicas y los procedimientos (TTP) de phishing son demasiado sofisticados.
A medida que los proveedores de seguridad desarrollan nuevas prestaciones para proteger a los usuarios contra los emails de phishing que eluden los filtros previos a la entrega, los perpetradores de ataques también se dedican a crear formas más inteligentes de llegar a la bandeja de entrada. Un ejemplo de este tipo de ataques es un email de phishing específico de bajo volumen y alta calidad que parece proceder de Microsoft 365 o Gmail, tal y como se muestra a continuación.
Este email falso presenta un aspecto profesional y está personalizado para usuarios específicos, al contrario que las tradicionales campañas tipo “spray and pray” del pasado. Estos ataques son sofisticados tanto por su capacidad de llegar hasta la bandeja de entrada como por la experiencia del usuario en el backend. Cada enlace abre la ventana de inicio de sesión de la segunda página del proceso de verificación, que introduce automáticamente la dirección de correo electrónico del usuario. El perpetrador del ataque ya sabe quién es usted.
Lo innovador del ejemplo de correo electrónico de phishing mostrado arriba es que el ataque real no tiene lugar hasta que el correo electrónico llega a la bandeja de entrada. En otras palabras, en lugar de poner la URL maliciosa en el correo, los atacantes enlazan con un servidor de redirección que actúa como pasarela y envía consultas desde una empresa de seguridad a un sitio inofensivo. En cambio, las consultas de las víctimas se dirigen al servidor de phishing.
Los métodos de ofuscación desarrollados a lo largo de los años incluyen engaños de identidad, múltiples redireccionamientos, divisiones de URLs, manipulación de etiquetas HTML, malware polimórfico y scripts ofuscados dinámicos, entre otros. Hemos visto a hackers expertos combinar numerosas técnicas de ofuscación en campañas de phishing específicas para encubrir la verdadera intención de la página de destino, que suele ser una página para recolectar credenciales.
Las personas no son perfectas.
“Los humanos no son seres lógicos. Somos seres emocionales. No nos importa cuál es la verdad. Nos importa cómo nos hace sentir,” afirmó Will Smith, famoso actor, rapero y tal vez incluso un poco filósofo de nuestra generación. Estas palabras tienen una profunda conexión con quienes viven y respiran la ciberseguridad. Mientras puedan manipularse las emociones humanas, no podrán evitarse los errores graves: este es, en efecto, uno de los numerosos retos complejos que deben resolver los profesionales de la seguridad, y que, sin embargo, no puede abordarse únicamente con tecnología. Si bien las tecnologías de prevención de phishing son necesarias, también resulta esencial establecer un programa de concienciación sobre la ciberseguridad.
Aumente la concienciación de los empleados con el test de phishing de SonicWall.
Aparte de dedicarse al desarrollo de las tecnologías de inteligencia artificial y de aprendizaje automático integradas en las herramientas de seguridad, SonicWall invierte en la formación de las personas para evitar el engaño humano como parte de una iniciativa más contundente para ayudar a las personas a formar parte de la solución en lugar de ser parte del problema.
La creencia de que la seguridad depende únicamente de los profesionales de seguridad y sus tecnologías resulta peligrosa, ya que cuando un email de phishing finalmente logra acceder a la bandeja de entrada, ya no hay ninguna línea de defensa más. Para reducir este factor de riesgo humano, es necesario adaptar la cultura y la mentalidad tanto a nivel corporativo como individual, con el fin de lograr que todos piensen de forma consciente y se impliquen de manera proactiva a fin de convertirse en un elemento clave de la seguridad de la organización.
De forma sencilla pero efectiva, el test de phishing de SonicWall anima a los empleados a ser precavidos y a tener una dosis sana de desconfianza a la hora de leer y responder a sus emails. Nuestro test le permite examinar de forma interactiva una serie de emails de muestra, que incluyen enlaces embebidos, con el fin de poner a prueba su intuición y sus conocimientos a la hora de distinguir los emails legítimos de los de phishing.
Si desea evaluar su capacidad de detectar los emails de phishing, haga el test de phishing de SonicWall.
HAGA EL TEST
This post is also available in: Inglés Portugués, Brasil Francés Alemán Italiano
Ken Dang
SR. Product Marketing Manager | SonicWall
Ken has more than 14 years of technology product management and product marketing experience creating and directing product development, and launching strategies for new product introductions. He specializes in networking, cloud and information security, data management, data protection, disaster recovery and the storage industry. Ken is currently Senior Product Marketing Manager for all of SonicWall’s emerging cloud solutions.