Krypton Solid

La última tecnología en raciones de 5 minutos

Derrote los tipos comunes de ciberfraude con conciencia de seguridad

El fraude no es nuevo, pero Internet ha proporcionado a los piratas informáticos la capacidad de utilizar fácilmente el vector de amenazas para engañar a los empleados para que proporcionen acceso a sus empresas.

Ataques de ciberfraude, a menudo distribuidos a través de phishing o campañas de spear-phishing, plaga constantemente y, a veces, incluso inhabilita por completo a las empresas. A pesar del creciente número de tecnologías disponibles para detectar y evitar que estos ataques de ingeniería social tengan éxito, el eslabón más débil sigue siendo el error humano, ya sea negligencia, malicia o apatía.

Aquí, Kayne McGladrey, miembro del Instituto de Ingenieros Eléctricos y Electrónicos, describe los tipos de ataques de ciberfraude que inevitablemente enfrentarán las empresas, desde la recolección de credenciales hasta los ataques de typosquatting. También ofrece las mejores prácticas para crear e instituir un programa de concienciación sobre ciberseguridad para evitar que los empleados sean víctimas de tales amenazas.

¿Cuáles son los principales tipos de ciberfraude que afectan a las empresas en la actualidad?

Kayne McGladrey: la recolección de credenciales a través de páginas de inicio de sesión simuladas sigue siendo una opción popular, pero OAuth [Open Authorization] Los ataques basados ​​en fichas se están convirtiendo en productos básicos. Desafortunadamente, los ataques OAuth son más difíciles de explicar a los usuarios finales, ya que utilizan URL legítimas y funcionarán con autenticación multifactor.

¿Por qué estos ataques siguen siendo tan exitosos y representan un desafío tan importante?

Kayne McGladreyKayne McGladrey

McGladrey: Las páginas de inicio de sesión falsas han seguido teniendo éxito a medida que los usuarios han aumentado el uso de dispositivos móviles para el correo electrónico corporativo. Es muy difícil identificar un enlace de phishing al hacer clic en un enlace en un teléfono móvil, y los actores de amenazas lo han combinado con el envío de correos electrónicos que suenan urgentes en momentos específicos, como antes del almuerzo un lunes o después del horario laboral un viernes. El usuario está distraído o tiene prisa. Sus defensas están bajas, por lo que es más probable que el ataque tenga éxito.

Los ataques de OAuth se han incrementado a medida que las organizaciones maduras han enfatizado la concienciación sobre el phishing. Estos ataques utilizan certificados SSL válidos y URL válidas, que con frecuencia se enseñan durante la educación sobre phishing para los empleados. Desafortunadamente, los ataques de OAuth luego autorizan a una aplicación de terceros a acceder al correo electrónico, el calendario o los archivos del empleado, lo que le da al actor de la amenaza una libertad considerable. Estos siguen siendo exitosos ya que las organizaciones no buscan activamente amenazas para este tipo de abuso de permisos por parte de aplicaciones de terceros.

¿Qué tipos probados de ataques cibernéticos están utilizando los actores malintencionados?

McGladrey: La clonación de sitios web sigue siendo una opción popular para los actores de amenazas, combinada con ataques homógrafos o de tipo quatting. La razón por la que los actores de amenazas clonan sitios web corporativos y de otro tipo es para proporcionar una experiencia de usuario de apariencia realista como parte del ataque, incluidas fuentes coincidentes, espaciado, imágenes y otras pistas visuales que indiquen que se trata de un sitio web legítimo.

Continúan existiendo los ataques de homógrafo y typosquatting, ya que es muy costoso y requiere mucho tiempo para una organización comprar y mantener cada permutación de su nombre de dominio en el número de registradores de dominio en rápida expansión. En comparación, es muy barato, a veces gratis, que un actor de amenazas compre un dominio; en algunos casos, los registradores de dominios otorgan reembolsos después de siete días.

¿Por qué el ser humano sigue siendo el eslabón más débil a pesar de todos nuestros conocimientos y recursos sobre ciberseguridad?

McGladrey: Los actores de amenazas tienen hipotecas, pagos de préstamos para automóviles y gastos de cuidado infantil. Tienen revisiones anuales de desempeño y trabajan en proyectos, y muchos de ellos trabajan horas regulares en oficinas. Los actores de amenazas son recompensados ​​por su innovación; desafortunadamente, su estructura de incentivos se basa en engañar a otras personas para que hagan cosas que de otro modo no harían.

El desafío es que los actores de amenazas pasan la mayor parte de sus horas de trabajo pensando en nuevas formas de engañar a la gente. Los defensores de la ciberseguridad dedican sus horas de trabajo a desarrollar programas y herramientas para proteger a las personas. Pero la gente promedio (estudiantes, familias, empleados, jubilados) no piensa mucho en esto, más allá de la vaga preocupación de que sus datos personales o comerciales vayan a ser violados y que no tengan poder para detenerlo. Pero esa es una preocupación menor en comparación con el cuidado de niños, los pagos de la hipoteca o el alquiler, tener suficiente para la jubilación o obtener una buena evaluación de desempeño en la oficina.

Hablando de conocimiento, ¿cómo pueden las empresas educar mejor a sus empleados para prevenir este tipo de ataques de ciberfraude?

McGladrey: La participación persistente junto con una capacitación breve es clave. Los actores de amenazas ya brindan participación en el mundo real, pero no brindan capacitación al usuario final. Las empresas deben realizar pruebas realistas de phishing y spear-phishing con sus empleados utilizando las mismas técnicas que los actores de amenazas y deben alentar o recompensar a los empleados que denuncien correos electrónicos sospechosos de phishing para su análisis. Este proceso de presentación de informes brinda a los defensores información valiosa sobre la evolución continua de los ataques dirigidos a productos básicos y se puede utilizar para actualizar de forma reactiva los mecanismos de protección.

¿Qué consejo tiene para crear e implementar un programa de concientización sobre seguridad empresarial?

McGladrey: Además de utilizar un marco formal, como el Center for Internet Security Control 17, considere la posibilidad de permitir que los usuarios finales realicen pruebas fuera de la capacitación. Al proporcionar cuestionarios mensuales de 10 preguntas y luego solo brindar capacitación basada en videos o documentos a las personas que necesitan ayuda adicional sobre ese tema, las organizaciones pueden reducir las críticas de ‘tener que tomar capacitación por el mero hecho de capacitar’. La mayoría de los empleados realmente no quieren ver el video de capacitación en ciberseguridad de cinco minutos del mes, sin importar cuán divertido, bien producido o interesante pueda parecerle ese video a un CISO. El uso de cuestionarios también permite a las organizaciones mostrar un progreso medible en los objetivos de aprendizaje con fines de cumplimiento.

Deja un comentario

También te puede interesar...

El alfabeto (GOOGL) muestra disciplina

El mes pasado, Alphabet Inc. (GOOGL, GOOG) ha decidido abandonar Loon, un proyecto diseñado para llevar el servicio de Internet de alta velocidad a los confines del mundo. La idea era construir globos que pudieran

Cómics de la semana # 226

Cómics de la semana # 226 Cada semana presentamos un conjunto de cómics creados exclusivamente para WDD. El contenido gira en torno al diseño web, los blogs y las situaciones divertidas que nos encontramos en

Definición de derivados de longevidad

¿Qué son los derivados de longevidad? Los derivados de longevidad son una clase de valores que brindan cobertura a las partes expuestas a riesgos de longevidad a través de su negocio, como las administradoras de

Reavivar el fuego por la ciencia

El lugar de Europa en la nueva economía debería estar asegurado. Con la producción y los servicios absorbidos en el Lejano Oriente por la aspiradora invisible de Adam Smith, podemos considerar nuestra tradición como el

El plan de audición de Samsung enoja a Apple

Actualizar Apple criticó hoy un acuerdo de audiencia propuesto por el litigante rival Samsung, diciendo que dividir el asunto en tres casos separados confundiría el caso y evitaría el necesario «análisis riguroso» en la sala

Sitios de tarjetas de regalo con descuento

¿Comprar tarjetas de regalo con descuento en línea puede ayudarlo a ahorrar dinero y reducir sus gastos mensuales? Posiblemente, si te enseñas a ti mismo a no gastarlos como dinero gratis. Además, tenga en cuenta

¿Apple tiene la intención de usar Blockchain?

Apple Inc. (AAPL) ha presentado una nueva solicitud de patente ante la Oficina de Patentes y Marcas Registradas de EE. UU., lo que indica que está creando un sistema de certificación de sello de tiempo

Qué buscar de DIS

Recomendaciones clave Los analistas estiman un EPS ajustado de $ 0,28 en comparación con $ 0,60 en el segundo trimestre del año fiscal 2020. Se espera que los suscriptores de Disney+ se tripliquen cada año.

Nube de palabras de Microsoft 2011: híbrido

La semana del 21 de marzo comienza seriamente el ciclo anual de la feria comercial anual de Microsoft, y el comienzo de la primera de muchas menciones futuras de una palabra de la que esperamos

Definición de Responsabilidad Social

¿Qué es la responsabilidad social? La responsabilidad social significa que, además de maximizar el valor para los accionistas, las empresas deben actuar de manera que beneficien a la sociedad. La responsabilidad social se ha vuelto

Telstra, Vodafone lanza iPhone 5S, precios 5C

Antes del lanzamiento de los nuevos iPhone 5S y 5C en Australia el viernes, Telstra y Vodafone lanzaron sus planes de precios de pospago para los clientes que desean suscribirse a contratos de 12 o

Preparando su arquitectura SIEM para el futuro

Los productos SIEM están evolucionando para aprovechar el aprendizaje automático; integrarse mejor con otros controles de seguridad empresariales; e identificar actividades sospechosas que involucren una gama cada vez mayor de hosts, servicios, aplicaciones y redes.