Los empleados no están lo suficientemente atentos cuando reciben correos electrónicos. Un análisis actual de Kaspersky de simulaciones de phishing en empresas [1] muestra que muchos empleados generalmente no notan trampas ocultas en asuntos de la empresa y notificaciones sobre supuestos problemas de entrega en correos electrónicos.
Casi uno de cada cinco hizo clic en el enlace de las plantillas de correo electrónico que imitaban este tipo de ataque de phishing. Otros correos electrónicos comunes de phishing, que anuncian que la propia computadora ha sido pirateada o prometen ganancias, apenas tienen éxito con una conversión de clics de uno a dos por ciento.
9 de cada 10 ataques comienzan a través de phishing
Se estima que nueve de cada diez ciberataques (91 por ciento) comienzan con un correo electrónico de phishing; Las técnicas de phishing están implicadas en dos tercios de todas las violaciones de datos exitosas (32 por ciento) [2].
Para obtener más información sobre esta amenaza, los expertos de Kaspersky recopilaron y analizaron datos de un simulador de phishing que los usuarios proporcionaron voluntariamente. Integrada en Kaspersky Security Awareness Platform [3], esta herramienta ayuda a las organizaciones a verificar que los empleados puedan detectar un correo electrónico de phishing sin comprometer los datos corporativos. Un administrador selecciona de un conjunto de plantillas que imitan escenarios comunes de phishing o crea una plantilla personalizada, luego la envía al grupo seleccionado de empleados sin previo aviso y realiza un seguimiento de los resultados. Una gran cantidad de usuarios que hacen clic en el enlace muestra que se requiere capacitación adicional en ciberseguridad.
Las cinco líneas de asunto más efectivas en los correos electrónicos de phishing
- "Intento de entrega fallido: lamentablemente, nuestro servicio de mensajería no pudo entregar su artículo" supuestamente de un servicio de entrega postal: conversión de clics del 18,5 por ciento
- "Los correos electrónicos no se entregaron porque el servidor de correo estaba sobrecargado" Supuestamente del equipo de soporte de Google: conversión de clics del 18 por ciento
- "Encuesta online a empleados: ¿Qué mejorarías de trabajar en la empresa?" Supuestamente del departamento de recursos humanos: conversión de clics del 18 por ciento
- "Recordatorio: nuevo código de vestimenta para toda la empresa" Supuestamente del departamento de recursos humanos: conversión de clics del 17,5 por ciento
- "Atención a todos los empleados: Plan de evacuación del nuevo edificio" supuestamente del departamento de seguridad: conversión de clics del 16 por ciento
Ganchos más efectivos para correos electrónicos de phishing
- Confirmaciones de reserva de un servicio de reserva (11 por ciento)
- Notificaciones de colocación de pedidos (11 por ciento)
- Anuncio de un concurso de IKEA (10 por ciento)
Los correos electrónicos que amenazan al destinatario o prometen beneficios inmediatos parecen ser menos "exitosos". Una plantilla con el asunto "Hackeé tu computadora y conozco tu historial de búsqueda" solo hizo clic en el dos por ciento de los usuarios, ofertas gratis de Netflix y $ 1.000 solo el uno por ciento.
“La simulación de phishing es una de las formas más sencillas de comprobar la resiliencia cibernética de los empleados y evaluar la eficacia de su formación en ciberseguridad. Sin embargo, hay aspectos importantes que se deben tener en cuenta a la hora de implementarlo para que sea realmente efectivo”, explica Christian Milde, Director General para Europa Central de Kaspersky. "Dado que los ciberdelincuentes adaptan constantemente sus métodos, la simulación debe reflejar las tendencias actuales de ingeniería social además de los escenarios comunes de ciberdelincuencia. Es fundamental que los ataques simulados se lleven a cabo con regularidad y se complementen con la formación adecuada. De esta manera, los usuarios desarrollan una fuerte conciencia que les permite evitar ser engañados por ataques dirigidos o phishing selectivo”.
Recomendaciones de Kaspersky para la protección contra ataques de phishing
- Informe regularmente a los empleados sobre las características básicas de los correos electrónicos de phishing [4], como una línea de asunto alarmante, errores y errores tipográficos, direcciones de remitentes en conflicto y enlaces sospechosos.
- Si hay alguna duda sobre el correo electrónico recibido, se debe verificar el formato de los archivos adjuntos y la precisión del enlace antes de hacer clic. Pasar el cursor del mouse sobre estos elementos puede garantizar que la dirección parezca auténtica y que los archivos adjuntos no estén en un formato ejecutable.
- Los ataques de phishing siempre deben informarse al departamento de seguridad de TI. Esto permite al equipo de ciberseguridad reconfigurar las políticas antispam y prevenir un incidente.
- Los empleados deben recibir capacitación periódica en seguridad cibernética. Capacitaciones como Kaspersky Security Awareness Training [5] tienen como objetivo cambiar el comportamiento de los alumnos y enseñarles cómo lidiar con las amenazas.
- Debido a que los intentos de phishing pueden ser confusos y no hay garantía de evitar todos los clics involuntarios, todos los dispositivos deben protegerse con una solución confiable como Kaspersky Small Office Security [6]. Las soluciones correspondientes ofrecen funciones antispam, rastrean comportamientos sospechosos y crean copias de seguridad en caso de ataques de ransomware.
[ 2 ] https://www2.deloitte.com/my/en/pages/risk/articles/91-percent-of-all-cyber-attacks-begin-with-a-phishing-email-to-an-unexpected-victim.html
[ 3 ] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
[ 4 ] https://www.kaspersky.de/blog/how-to-protect-yourself-from-phishing/42317/
[ 5 ] https://www.kaspersky.de/enterprise-security/security-awareness
[ 6 ] https://www.kaspersky.de/small-business-security/small-office-security
Más en Kaspersky.com