Cómo construir un sistema de defensa para prevenir a tu organización de caer en la campaña de phishing de un hacker.
Ha habido un aumento incesante de ataques de phishing en los últimos años. En 2020, la plataforma de seguridad cibernética Mimecast informó que los ataques de phishing por correo electrónico aumentaron un 64% ese año. Para los ciberdelincuentes; el phishing ofrece pocas barreras de entrada en términos de conocimiento técnico e incluso existe la posibilidad de comprar phishing-as-a-service (PhaaS) donde los atacantes pueden comprar una campaña lista para usar. El cambio a trabajar desde casa para una gran parte de los empleados frente a hacerlo en la oficina también ha facilitado que los piratas informáticos se aprovechen de la mayor debilidad que tienen la mayoría de las organizaciones cuando se trata de ser víctimas de este tipo de ataques, el elemento humano.
Para desarrollar mejor su resiliencia, las organizaciones pueden tomar una serie de medidas. La clave es comprender el riesgo, el nivel de conciencia de seguridad en toda la fuerza laboral y lo que se puede hacer para ayudar a prevenir un incidente de phishing exitoso. También es fundamental saber cómo mitigar el daño si un ataque tiene éxito.
En este artículo, veremos qué es el phishing y qué herramientas y controles puede implementar una empresa para protegerse.
¿Qué es el Business Email Compromise (BEC)?
Como su nombre indica; Business Email Compromise es cuando un atacante se hace pasar por una dirección de correo electrónico legítima; a menudo utilizada en el contexto de transacciones comerciales. El objetivo suele ser intentar robar dinero y normalmente hay dos rutas para un BEC exitoso. En primer lugar, un ataque externo de «spear phishing» que parece provenir de un proveedor o ejecutivo legítimo; por ejemplo, en el que enviarán un correo electrónico dirigido a una persona que se hace pasar por otra persona.
En segundo lugar, y la solución preferida para muchos atacantes, es una que comienza con una campaña de phishing anterior que se dirige a personas con un correo electrónico que contiene un enlace malicioso con el objetivo de obtener acceso a la cuenta de correo electrónico de un proveedor / ejecutivo real. Desde este punto de apoyo inicial; a menudo se sentarán, esperarán, supervisarán y crearán una imagen del entorno, como el flujo de trabajo, los proveedores y las fechas de pago. Esto permite al pirata informático atacar en el momento óptimo y realizar una solicitud de apariencia legítima y creíble, tal vez el cambio de los datos bancarios de un proveedor o los datos bancarios para una devolución de gastos, las posibilidades son infinitas.
¿Cuál es la diferencia entre Whaling y Phishing?
Los ataques de phishing y los ataques de whaling son compromisos de correo electrónico empresarial por parte de malos actores que tienen como objetivo adquirir información confidencial. La diferencia clave entre la whaling y el spear-phishing es que los ataques de whaling se dirigen específicamente a individuos de gran riqueza o ejecutivos de alto rango en una organización; mientras que los ataques de spear-phishing se pueden usar para atacar a cualquier individuo.
¿Existen herramientas que podamos instalar en nuestra red para prevenir este tipo de ataques?
Existe una variedad de herramientas y soluciones que ayudan a mitigar el riesgo; y esta es la razón por la que ejecutar una campaña completa de un extremo a otro (no simplemente un resultado de «te han engañado» al hacer clic en un enlace) puede proporcionar tanto valor para una organización probando muchos aspectos diferentes de la seguridad. Ayudará a revelar las capas que las empresas deben comprender para lograr una defensa en profundidad que se puede abordar a través de los siguientes pasos:
- Mail Proxy: ¿el equipo es eficaz para evitar que los correos electrónicos maliciosos lleguen a las bandejas de entrada de los empleados?
- Capacitación de concienciación del personal: si un correo electrónico sospechoso llega a una bandeja de entrada, ¿los empleados están al tanto y capacitados sobre si deben «hacer clic» o «no hacer clic y denunciar»? Los informes efectivos pueden limitar en gran medida la facilidad con la que un atacante puede persistir en la red de destino.
- Proxy web: cuando un empleado hace clic en un enlace y se le dirige a un sitio malicioso, ¿existe un proxy web para evitar conexiones sospechosas?
- Antivirus: si se descarga un archivo con un virus; ¿se está ejecutando un programa antivirus?
- Endpoint Detection and Response (EDR): ¿se ha implementado una solución de EDR (Solución de detección y respuesta de puntos finales)? Esto puede complementar un programa antivirus al monitorear constantemente qué tipo de conexiones y actividades está realizando una máquina para intentar detectar actividad maliciosa.
- Network Detection and Response (NDR): ¿se ha implementado una solución de NDR (detección y respuesta)? Esto busca tráfico de red inusual en comparación con lo que normalmente ve la red.
La lección importante es no depender nunca de un solo control siempre y cuando otros estén disponibles; como la autenticación multifactorial, la segregación de la red; el acceso con menos privilegios y la forma en que el equipo de seguridad responde a las alertas.
¿Qué puedo hacer si soy yo el que hace clic en un enlace de phishing?
Por lo general, hay algunos pasos entre hacer clic en un enlace y un ordenador infectado. De hecho, infectar el ordenador puede no ser el objetivo deseado de una campaña de phishing; puede ser un intento de robar información confidencial como nombres de usuario y contraseñas.
Si hace clic en un enlace; lo primero es estar atento a lo que hace a continuación. Por ejemplo; si el enlace lo lleva a una página de inicio de sesión, deténgase, piense y verifique el dominio antes de hacer nada. Un buen consejo es que, si te dirigen a un sitio que supuestamente conoces, no utilices el enlace. En su lugar, intente acceder a la página a través de un motor de búsqueda como Google y vaya a través del enlace legítimo al sitio. A continuación, asegúrese de informar de inmediato el enlace sospechoso al equipo de seguridad de la información de su organización para que puedan monitorear la red en busca de tráfico anormal al sitio sospechoso.
He hecho clic en un enlace ¿está mi equipo infectado?
La paranoia de hacer clic en un solo enlace que infecta instantáneamente su ordenador proviene de una época en la que los controles eran mucho más débiles, lo que hace que esto sea más probable de lo que es hoy. Esto no significa que sea imposible, pero es mucho más difícil y mucho más caro de lograr para los piratas informáticos. Hoy en día, la mejor manera de evitar estos ataques de phishing de «un clic» es asegurarse de que está utilizando navegadores modernos con las últimas actualizaciones aplicadas. Más a menudo; los ciberdelincuentes le pedirán que descargue un archivo que deberá ejecutar usted mismo. Para reforzar el punto, después de abrir un correo electrónico, deténgase y piense antes de realizar la siguiente acción.
¿Qué puedes hacer si crees que tu ordenador está infectado?
Una forma de reconocer si su ordenador ha sido infectado son las ventanas emergentes inusuales, el ordenador funcionando muy lento y/o programas / servicios que no reconoce que se inician por sí solos. Si este es el caso; siga los siguientes pasos:
- Escale de inmediato al equipo de seguridad cibernética. Cuanto antes puedan empezar a trabajar en él, mejor. Siga sus consejos, pero si su empresa no tiene acceso a un equipo de seguridad cibernética, las siguientes acciones pueden ayudar a contener la infección.
- Desconéctese de Internet para evitar que el malware «entre en casa» (conectándose de nuevo al servidor central de comando y control).
- Reinicie la máquina en modo seguro (un modo de diagnóstico básico para su sistema operativo que inicia el ordenador sin la mayoría de sus controladores y software). Puede usar el modo seguro para resolver problemas como desinstalar software o malware que impide que su ordenador funcione correctamente.
- Elimine los archivos temporales que pueden acelerar el escaneo de virus que está a punto de hacer, e incluso puede eliminar el virus / malware en sí, ya que algunos virus están programados para iniciarse cuando su ordenador se inicia.
- Descargue un escáner de virus si aún no lo tiene y ejecútelo.
- Empiece a reconstruir lentamente de forma segura en función de las cosas que encuentre.
¿Cómo pueden las organizaciones crear una cultura que haga ver a sus empleados que el phishing es también un riesgo de negocio?
Es importante destacar que las defensas contra la amenaza de phising dependen de que las empresas actúen sobre la cibernética como un riesgo empresarial mayor; verlo más sobre estrategia y desarrollar un enfoque programático para aumentar la concienciación, el compromiso y la capacitación de los usuarios en lugar de la capacitación única.
Los tipos de capacitación pueden incluir ejercicios basados en roles, ejercicios, almuerzos y aprendizajes, seminarios web y ejercicios de mesa. Si su organización tiene un segmento de personal que está en mayor riesgo de sufrir un ataque de phishing, como ejecutivos, líderes o personas de alto patrimonio neto; sería una buena práctica involucrarlos. Las empresas que están teniendo un impacto significativo y están viendo resultados en su resiliencia cibernética en toda la organización, ejecutan este tipo de programas de concientización continua.
Las organizaciones que tienen éxito también incorporan métricas de gobernanza y resultados de diseño vinculados a los riesgos clave y las amenazas más probables en su industria. La guerra contra los ciberataques se gana en múltiples frentes.
Todo mail puede ser parte de una campaña de phishing
Si sigue los pasos descritos anteriormente, su organización habrá dado pasos importantes para protegerse de una campaña de phishing dañina. Pero, sobre todo; todas las empresas deben tratar cada correo electrónico como un correo electrónico de phishing potencial. No excluya los correos electrónicos que nunca asumirá que están tratando de suplantarlo; ya que es muy probable que sean los más inteligentes que se reciban.
Este material se preparó únicamente con fines informativos. Siempre se debe buscar asesoramiento profesional con respecto a problemas y soluciones de riesgo específicos.