Seguridad

Ataques de phishing: consejos de capacitación para mantener a los usuarios atentos

Hola, trabajo en Oak Ridge, un laboratorio de computación muy bueno. Estoy en el equipo que dirige Jaguar. ¿Qué? Oh, sí, es una pena que Tianhe (la supercomputadora china) haya probado más rápido. No te preocupes, haremos que Cray vuelva a la cima.

¿Qué es esto? ¿Por qué HR me está enviando un correo electrónico ahora? Mis beneficios han cambiado. ¿Cual? Sez Haga clic en el enlace para averiguarlo. Pensé que no debería haber hecho eso…

Esta situación es similar a la reciente que le pasó a más de 500 personas Laboratorio Nacional de Oak Ridge (ORNL). Las indicaciones iniciales son que al menos 50 personas hicieron clic en el enlace de phishing y comenzaron a descargar el malware con éxito debido al exploit de día cero.

bajo ataque

Los laboratorios nacionales de EE. UU. son entornos ricos en objetivos para los ladrones de secretos. Es por eso que necesitan y cuentan con algunos de los mejores expertos en seguridad física y TI del planeta para mantener las cosas seguras.

Quizás recuerde a uno de mis héroes, Roger Johnson, jefe del equipo de evaluación de vulnerabilidades del Laboratorio Nacional de Argonne. Se mete en las cosas. Luego arréglalos para que los malos no tengan la misma oportunidad.

Le pregunté sobre el ataque de phishing de ORNL. Respondió:

«Sí, 57 de los 530 empleados que respondieron a los correos electrónicos de phishing parecen ser un porcentaje bastante consistente para la organización. Incluso con empleados educados y motivados, llegar al 0 % es muy difícil».

Entiendo el punto de Roger. Varias veces estuve cerca de ser estafado. Escribo estas cosas.

Estuve acosando a Roger por lo que pasó. Sin embargo, hábilmente evitó mi bombardeo:

«Bueno, en realidad no soy un experto en seguridad cibernética. Me ocupo principalmente de la seguridad personal. Le sugiero que lleve su pregunta a mi colega Tyler Murphy. Lo miraré por encima del hombro y le ofreceré mis 2 centavos.

Realmente no puede hablar sobre cómo hacemos las cosas aquí. Esto en sí mismo es una buena política de seguridad. Sin embargo, ciertamente puede hablar de buenas prácticas de ciberseguridad en general. «

Tyler trabaja como administrador de red en la División de Ingeniería Nuclear del Laboratorio Nacional de Argonne. Su especialidad es la ciberseguridad y la política de ciberseguridad. Taylor también trabaja con Roger y VAT según sea necesario.

Consejos de Argonne

Simple y llanamente, los ataques de phishing funcionan. Si hay humanos involucrados, es posible que no sea posible eliminar por completo este vector de ataque. Sin embargo, seguir el consejo de expertos de confianza ayudará a detener la marea. Esto es lo que los dos tenían que decir.


Casner: ¿Cómo se comunica y se asegura de que los empleados comprendan sus requisitos de seguridad?
murphy: Los empleados ocupan una posición única en ciberseguridad, especialmente cuando se trata de «phishing» o ataques de ingeniería social. Los empleados son tanto parte del problema como parte de la solución.

Para que los empleados sean parte de la solución, la capacitación es fundamental. Los empleados siempre deben recibir información sobre lo que es un correo electrónico «sospechoso» y cómo tratarlo. La verdad es que no importa qué tan estricta sea su seguridad externa, los atacantes encontrarán una forma de entrar.

Por lo tanto, debe capacitar a sus empleados para que estén al tanto de cualquier amenaza de ingeniería social que puedan enfrentar. Para mantenerlos informados y conscientes de los problemas, la gerencia debe:

  • Enviar boletín por correo electrónico
  • Formación obligatoria requerida
  • Curso de actualización obligatorio después de un tiempo determinado

La clave es mantener informados a los empleados y no hacerlos sentir cómodos con prácticas de seguridad descuidadas, ya que la naturaleza misma de un ataque de ingeniería social es atraerlo hacia una falsa sensación de comodidad.

Casner: Dado que mi atención se centra en los ataques de phishing, ¿tiene algún consejo específico para los empleados?
murphy: Sospeche de todo, especialmente de los correos electrónicos de direcciones desconocidas. Tenga mucho cuidado si el correo electrónico le solicita sus credenciales o si el correo electrónico lo dirige a un enlace de URL.

En mi experiencia, los ataques más efectivos son aquellos que «parecen» oficiales y usan logotipos oficiales. Por lo tanto, tenga en cuenta la política de su empresa sobre la solicitud de contraseñas o credenciales. En caso de duda, levante el teléfono y haga una llamada. Nadie en el campo de la seguridad cibernética debe molestarse o molestarse si un empleado busca verificación.

Casner: ¿Has visto el correo electrónico utilizado en el ataque? ¿Es lo suficientemente oficial para engañar a la gente?
murphy: Por lo que entiendo, el correo electrónico tiene un aspecto oficial. Sin embargo, todos debemos recordar que no es difícil hacer que algo parezca formal.
La regla estricta y rápida para cualquier organización debe ser «Vamos a de ninguna manera Solicite sus credenciales por teléfono o correo electrónico. «Si esta política se implementa y se sigue, puede disuadir incluso los ataques más persuasivos.

Puede parecer que un correo electrónico fue enviado directamente desde la gerencia, pero si su organización ha desarrollado y aplicado una política de «no solicitud de credenciales», los empleados sospechan automáticamente y los ataques han resurgido.

Casner: Roger, mencionaste el «Código Diario». ¿Puedes explicar cómo funciona?
Johnson: La contraseña del día como concepto que tiene miles de años. Esta no es una gran contramedida cibernética, ya que los extraños generalmente pueden obtenerla a través de la ingeniería social. Pero es barato, simple y más efectivo cuando el atacante está completamente fuera de las instalaciones, como suele ser el caso con los ataques cibernéticos.

La idea es que, por ejemplo, la contraseña de hoy sea «hamburguesa» y la contraseña de mañana sea «emoción». La contraseña puede ser:

  • Imprímelo en el calendario con un mes de antelación.
  • Disponible en un sitio web interno protegido con contraseña
  • Reproduzca mensajes grabados en líneas telefónicas solo internas.
  • Publique letreros electrónicos o tableros de anuncios alrededor de la instalación.

a quien le importa. La clave es tener un canal único y confiable de comunicación criptográfica, incluso si ese canal no es particularmente seguro.

Todos los correos electrónicos oficiales o directivas de TI masivas con elementos de acción deben contener el código de día correcto o deben ignorarse. Incluso puede haber contraseñas separadas para diferentes turnos.

Hay métodos más seguros (como el hash de autenticación), pero este es bastante sencillo y alerta a los empleados sobre ataques cibernéticos y amenazas de ingeniería social a diario de una manera que no lo hace el hash (o cifrado) de autenticación automática.

Casner: Teniendo en cuenta lo que ha sucedido, ¿puedes especular sobre lo que podría haber cambiado?
murphy: Este es un incidente grave. Y, la única forma de avanzar es aprender de ello. Necesitan descubrir cómo y por qué ocurrieron estas brechas de seguridad y utilizar este conocimiento para mejorar la seguridad.

Sin duda, este evento fomentará una mayor capacitación de los empleados e inspirará esfuerzos más conscientes para comprender mejor los riesgos de la ingeniería social.

En términos de ingeniería social en su conjunto, una lección importante que se debe aprender es que responder a las amenazas de seguridad no es solo responsabilidad de los profesionales de ciberseguridad. Esta es responsabilidad de todos los empleados.

Casner: ¿Tienes alguna otra idea para compartir?

murphy y johnson: Todos pensamos que tiene sentido probar aleatoriamente a los empleados con falsos ataques de ingeniería social. Luego recompensa a los que no muerden el anzuelo.

Por ejemplo, todos los que no hacen clic en un correo electrónico de phishing falso obtienen un boleto de lotería ganador. Alternativamente, los diez mejores empleados que reporten intentos de phishing pueden ser recompensados.

Si la seguridad se trata simplemente de castigar a las personas, entonces la seguridad se convierte en algo desagradable de «nosotros contra ellos». Por otro lado, si los empleados son elogiados, reconocidos y recompensados ​​por practicar una buena seguridad, se convierte en algo positivo que todos podemos respaldar.

Casner: Buenos consejos desde las trincheras.

pensamientos finales

Nadie es inmune al phishing. Pensar de esta manera es exactamente lo que quieren los malos. Esto facilita su trabajo.

Siempre puedo contar con mis amigos de Argonne para que me ayuden con los problemas difíciles. Gracias, Roger y Taylor.

LEER  El uso adecuado de la inteligencia artificial generativa puede beneficiar la ciberseguridad

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba