RESUMEN EJECUTIVO:
La ingeniería social es uno de los desafíos de seguridad de red más importantes y difíciles de enfrentar. Debido a la naturaleza discreta de la ingeniería social, los ataques pueden ocurrir sin que nadie en su organización reconozca que ha ocurrido algo engañoso.
Los empleados siguen cayendo en estafas de ingeniería social de forma regular. Esto pone en peligro a su organización, ya que las estafas comúnmente implementan ransomware o infectan redes con código malicioso.
Para los atacantes cibernéticos, la ingeniería social no requiere ninguna inversión más allá del costo de enviar un correo electrónico o una llamada telefónica. La ingeniería social es rentable e implica un riesgo mínimo, de ahí el atractivo. ¿Los estafadores de ingeniería social engañarán a su fuerza laboral?
1. Banderas rojas de correo electrónico. Incluso los empleados más inteligentes son susceptibles a la ingeniería social basada en correo electrónico debido a la gran sofisticación de las amenazas contemporáneas. Existen numerosos tipos de señales de alerta de ingeniería social basadas en correo electrónico. A continuación se presentan varios comunes que sus empleados deben estar atentos:
Correo Electrónico texto banderas rojas. Los empleados a menudo conocen la posibilidad de hacer clic en un enlace malicioso. Sin embargo, muchas personas ignoran las mejores prácticas y hacen clic en los enlaces si parecen legítimos y lógicos. Por ejemplo:
Un correo electrónico a un miembro del personal de las instalaciones que parece proporcionar una notificación adecuada sobre la empresa Amazon.com cuenta, y eso incluye el dominio falso 'login-amazon-account[.] com', se puede hacer clic en él.
Correo Electrónico remitente banderas rojas. Los empleados pueden pasar por alto las banderas rojas de ingeniería social relacionadas con un remitente de correo electrónico. Por ejemplo:
La dirección de correo electrónico del remitente puede decir 'jsmith@bankofarnerica.com Una persona desprevenida puede pasar por alto el hecho de que la letra 'm' en la dirección web anterior ha sido reemplazada por las letras 'r' y 'n', dando la ilusión de que el correo electrónico proviene de una fuente confiable.
Correo Electrónico anexo banderas rojas. Si bien los empleados comúnmente saben que deben tratar los archivos adjuntos no solicitados con sospecha y precaución, la realidad no se alinea con la intención. Un atacante cibernético que se haga pasar por una persona importante y proporcione un documento legal tan esperado podría engañar fácilmente a un empleado desprevenido.
2. Banderas rojas basadas en el teléfono. Sus empleados probablemente saben mejor que divulgar una contraseña a alguien que la solicita por correo electrónico. Pero, ¿lo pensarán dos veces si Aaron, del departamento de TI, hace una llamada, explicando con calma y tranquilidad que el equipo de TI desea verificar la seguridad de las cuentas de un empleado determinado, y que para hacerlo, necesitarán la información de la cuenta del empleado?
Los ciberdelincuentes también están clonando voces humanas para facilitar el fraude. En teoría, los ciberdelincuentes podrían clonar las voces de la gerencia de nivel superior. En un ejemplo particularmente atroz de ingeniería social basada en inteligencia artificial, hace varios años, los ciberdelincuentes lograron robar 35 millones de dólares en una elaborada estafa de clonación de voz basada en teléfono.
No deje que sus empleados se defiendan de los maestros de la manipulación por sí mismos…
Si bien la prevención de ataques de ingeniería social es una tarea compleja, un enfoque múltiple puede reducir drásticamente la posibilidad de que su empresa se encuentre con un truco de ingeniería social exitoso. Explore estos pasos fundamentales para perseguir:
1. Promueva la conciencia de los empleados. Todos los empleados deben conocer la realidad y los peligros de la ingeniería social. Proporcionar la capacitación correspondiente. Dentro de la capacitación, informe a los empleados sobre cómo se pueden desarrollar las acrobacias de ingeniería social del mundo real y brinde ejemplos sofisticados.
2. Desarrollar políticas y procedimientos sólidos que están diseñados para prevenir la ingeniería social. Por ejemplo, las organizaciones deben enseñar a los empleados sobre las expectativas en torno al manejo de información confidencial. Es posible que su organización también desee proporcionar a los empleados pautas sobre las redes sociales y qué evitar publicar públicamente.
3. Considere equipar a los empleados con guiones para ciertas situaciones, como llamadas sospechosas. También podría considerar ofrecer a los empleados una lista de "preguntas candentes" para escuchar en conversaciones sospechosas. Solicite a los empleados que mantengan la lista al alcance de su espacio de trabajo habitual.
4. Aprovechar el principio de "mínimo privilegio" y asegúrese de que los empleados solo tengan acceso a los recursos que necesitan para llevar a cabo las funciones laborales. Por lo tanto, en el caso de que un empleado de nivel inferior proporcione accidentalmente credenciales a un ingeniero social, el ingeniero social no podrá acceder a la información más allá de un cierto nivel de autorización.
5. Mantenga un plan de respuesta a incidentes. En el caso de un ataque de ingeniería social, desea tener a mano un plan de respuesta a incidentes bien definido. Su plan debe incluir información sobre cómo investigar, contener y mitigar los problemas derivados de la ingeniería social.
6. Realice pruebas de seguridad periódicas. Asegúrese de que su enfoque de prevención de ingeniería social sea efectivo. Aproveche una variedad de metodologías avanzadas para identificar debilidades en la postura de seguridad.
Para todas las organizaciones, la ingeniería social representa una de las amenazas más perniciosas y poco discutidas en seguridad de la información.
Desarrolle una estrategia de prevención de ingeniería social ganadora que incluya educación, controles de seguridad para el desarrollo de políticas y más. Además, asegúrese de estar al tanto de las últimas tendencias de ingeniería social y soluciones de la industria.
Para obtener más información sobre cómo prevenir los intentos de ingeniería social y las señales de alerta de ingeniería social, consulte CyberTalk.org cobertura pasada. Por último, para recibir noticias de vanguardia sobre seguridad cibernética, las últimas prácticas recomendadas, análisis de expertos y entrevistas destacadas en su bandeja de entrada cada semana, regístrese en el CyberTalk.org boletín de noticias.
El puesto ¿Sus empleados se están perdiendo estas banderas rojas de ingeniería social? apareció primero en Charla cibernética.