Si parece un pato, nada como un pato y grazna como un pato, entonces probablemente sea un pato. Ahora bien, ¿cómo se aplica la prueba del pato a la defensa contra el phishing?

El otoño es una época del año increíble para escaparse y pasar un tiempo al aire libre. Mientras tanto, las personas con inclinaciones criminales parecen aumentar sus campañas de phishing, ya que la rutina diaria de eliminar los correos electrónicos no deseados y maliciosos y Mensajes SMS toma más tiempo cada día. Octubre es Mes de concientización sobre ciberseguridad y la segunda semana de la campaña de un mes para llevar la ciberseguridad a la vanguardia de la mente de todos está dedicada a la ‘Lucha contra el phish‘ tema.

Las duras verdades

¿Le sorprendería saber que poco más del 60% de los participantes en un cuestionario de phishing, realizado por ESET, ¿a quién se le presentaron cuatro imágenes de phishing o mensajes reales que no lograron identificarlos correctamente?

Llamó al Derby de phishing de ESET y organizado por el equipo de ESET en los EE. UU., el concurso de participación gratuita está diseñado para mostrar cuán competentes somos en la identificación de mensajes falsos frente a mensajes reales. El sistema de puntuación se basa en la velocidad y diferenciar correctamente los mensajes, y el casi 40% que identificó correctamente las muestras puede incluir algunos participantes que identificaron tres correctamente en un tiempo súper rápido. Entonces, en realidad, es probable que el número que identifica a los cuatro correctamente sea menor. El cuestionario no fue diseñado para generar estadísticas, fue diseñado para crear conciencia y ayudar a educar a los participantes sobre cómo identificar correos electrónicos falsos.

Curiosamente, los resultados muestran una marcada diferencia en la forma en que los participantes más jóvenes de entre 18 y 24 años identificaron las muestras correctamente: el 47%, en comparación con solo el 28% de los mayores de 65 años. Los de entre 25 y 44 años alcanzaron el 45% y de 45 a 64 años. -años estaban al 36%. En caso de que se esté preguntando acerca de la validez de estos datos, el número de participantes fue de 4.292 y los datos recopilados son un subproducto y no un estudio académico. Se presentó un resultado similar cuando ESET Canadá realizó el mismo cuestionario a fines de 2020, y el 68% de los participantes no identificaron correctamente las cuatro muestras. Puedes tomar las pruebas aquí o aquí.

¿Qué acción debemos tomar a partir de los resultados? Si está leyendo este blog, es probable que tenga la necesidad de aprender más sobre ciberseguridad y mantenerse seguro en línea. Entonces, permítame darle un desafío durante este Mes de Concientización sobre Ciberseguridad 2021: tome el mensaje de ser cauteloso con los correos electrónicos y mensajes y otras buenas prácticas que pueda adoptar para mantenerse seguro en línea y enséñelas a amigos y familiares, con un enfoque muy específico en ayudar a aquellos en sus años más avanzados, ya que los datos demuestran que pueden beneficiarse de un poco más de ayuda.

Podría pensar que con las continuas campañas de concientización de las organizaciones financieras, las empresas de ciberseguridad, los gobiernos y similares, que llevan el mensaje de concientización sobre la ciberseguridad a casa, este número debería ser más bajo, mucho más bajo, y podría estar de acuerdo. Sin embargo, algunos correos electrónicos de phishing que llegan a las bandejas de entrada están muy bien elaborados y se ven y se sienten como si fueran reales, lo que hace que sea mucho más difícil identificarlos como falsificaciones. Este desafío solo se hará más difícil a medida que los ciberdelincuentes perfeccionen su arte.

Phresh phish

La semana pasada, recibí un correo electrónico que supuestamente es de American Express, notificándome que se había bloqueado un intento de transacción sospechosa y solicitando que revisara las transacciones recientes. A primera vista, el correo electrónico parece legítimo, está bien escrito y tiene buenos gráficos, pero hay algunas señales obvias de que el correo electrónico es falso.

Para empezar, no tengo una tarjeta American Express Business Platinum. Sin embargo, si tiene una cuenta, puede ser comprensible por qué esto podría engañarlo para que dé el siguiente paso, la abra y posiblemente haga clic en el enlace que contiene. El correo electrónico está diseñado para crear una reacción emocional, ‘oh no, hay fraude en mi cuenta, necesito arreglarlo, haga clic’.

Además, uno de los identificadores falsos para mí en este correo electrónico específico es la dirección ‘Estimado usuario de la tarjeta’ y luego la ‘Cuenta que comienza con 37 *****’. American Express sabe quiénes son sus clientes y no se refieren a ellos de manera genérica en las comunicaciones, y las compañías de tarjetas de crédito normalmente usan los dígitos finales más únicos de un número de cuenta, no los números menos únicos al comienzo del número de cuenta. Como empleado anterior de American Express, sé que todas las tarjetas emitidas por ellos comienzan con 3 y el segundo número es un ‘4’ o un ‘7’, por lo que el número utilizado en el correo electrónico que recibí es genérico y válido para muchos titulares de tarjetas. , un enfoque de escopeta del ciberdelincuente para atrapar a una víctima.

Los recursos informáticos mejorados fácilmente disponibles para los ciberdelincuentes lo harán más desafiante; por ejemplo, el alquiler de potencia de computación en la nube, las enormes cantidades de información personal disponible a partir de violaciones de datos y, hasta cierto punto, la financiación de los recientes ciberataques exitosos que se reinvierten para hacer crecer el sector empresarial de la ciberdelincuencia. Ahora imagine que el correo electrónico de suplantación de identidad de ‘American Express’ tiene el nombre del titular de la tarjeta y los últimos 4 dígitos del número de la tarjeta, obtenidos a partir de datos violados, la probabilidad de que el destinatario haga clic en el enlace sin duda aumentará significativamente.

Otras señales de alerta de los ataques de phishing

Aquí hay algunos consejos más sobre cómo identificar un correo electrónico de phishing:

  • El correo electrónico no se dirige a usted personalmente, cuando en la empresa que supuestamente es el remitente sabría quién es usted y, por lo general, enviaría correos electrónicos con una dirección personal y no genérica.
  • Errores gramaticales y ortográficos: a medida que mejoran los correos electrónicos de phishing, asegúrese de leerlos dos veces, ya que los errores pueden ser más difíciles de detectar.
  • El correo electrónico no es solicitado por una empresa con la que nunca se ha comunicado.
  • Una llamada para tomar una acción urgente, haga clic en un enlace e inicie sesión para revisar transacciones o similar
  • La dirección de correo electrónico: coloque el mouse sobre la dirección de correo electrónico y verifique la dirección real del remitente y el dominio desde el que se envió.
  • Correos electrónicos con archivos adjuntos, por ejemplo, que afirman ser una factura o notificación de algún tipo.

Mi recomendación en los casos en que persista la incertidumbre sobre si un correo electrónico es real o falso es visitar el sitio web del supuesto remitente directamente a través de un navegador, iniciar sesión en su cuenta y buscar cualquier mensaje. Todo lo importante estará en los mensajes de la cuenta o en la bandeja de entrada y, si es necesario, comuníquese con la empresa y valide la solicitud.

Author

Write A Comment