Un nuevo informe de la empresa de seguridad Positive Technologies muestra que 1 de cada 10 empleados caería en un ataque de ingeniería social.

¿Qué es un ataque de ingeniería social?

Los ciberataques de ingeniería social se basan en el elemento del error humano, por ejemplo, convencer/engañar a una persona para que descargue archivos maliciosos, comunicarse sin saberlo con ciberdelincuentes, compartir información de contacto sobre empleados y transferir dinero a cuentas de piratas informáticos, o hacer clic en enlaces de phishing.

Test

Los resultados del informe se basan en "pruebas de penetración" que implicaron el envío de 3,300 correos electrónicos a empleados que contenían enlaces a sitios web, formularios de ingreso de contraseñas y archivos adjuntos. Como su nombre indica, una prueba de penetración es un ataque simulado autorizado a un sistema informático, que se realiza con el fin de evaluar la seguridad de ese sistema.

Bureado

Los resultados mostraron que, de manera preocupante, el 17 % de los mensajes lograron convencer a los destinatarios para que tomaran medidas que habrían resultado en el compromiso de una estación de trabajo y potencialmente de toda la red corporativa si el ataque fuera real.
Las pruebas mostraron que el 15 % de los empleados respondió a los correos electrónicos con un archivo adjunto y un enlace a una página web, mientras que solo el 7 % respondió a los correos electrónicos de prueba con un archivo adjunto. Se informó que el método más efectivo de ingeniería social identificado en la prueba fue enviar un correo electrónico con un enlace de phishing. En este caso, el 27 % de los destinatarios hizo clic en un enlace que conducía a una página web que solicitaba credenciales.

Nombres reales de empresas convincentes

El estudio mostró que los mensajes recibidos de lo que parecía ser la cuenta de una empresa real dieron como resultado un 33 % de acciones arriesgadas por parte de los destinatarios, mientras que los mensajes de empresas falsas solo dieron como resultado un 11 % de éxito.

Respuesta emocional buscada

Los ciberdelincuentes a menudo usan métodos diseñados para producir una respuesta emocional que hará que las personas se olviden de las reglas básicas de seguridad. Por ejemplo, en las pruebas, una línea de asunto de correo electrónico de 'lista de empleados a ser despedidos' resultó en una respuesta del 38%, y "bonos anuales" generó una respuesta del 25%.

Confiando demasiado si no en TI

Un hallazgo interesante destacado en el informe fue que el 88 % de las personas ajenas al trabajo de TI (y presumiblemente menos conscientes de los riesgos), como contadores, abogados y gerentes, abrieron/hicieron clic en enlaces sospechosos e incluso mantuvieron correspondencia con los atacantes. Sin embargo, el 3% de los profesionales de seguridad también respondió.

Siguió tratando de abrir

¡El estudio encontró que algunos destinatarios que no podían abrir los archivos maliciosos incluso intentaron abrir los archivos o ingresar su contraseña en un sitio falso hasta 40 veces!

¿Qué significa esto para tu negocio?

Claramente, existe un caso para una mejor educación y capacitación entre los empleados sobre la variedad de métodos y el nivel de sofisticación que los ciberdelincuentes ahora usan en los ataques. Los empleados deben poder detectar posibles ataques y tener a mano políticas claras, instrucciones y ayuda sobre cómo proteger a la empresa de manera proactiva y cómo responder a ciertos tipos de ataques. Una de las formas más simples de defensa contra las amenazas que ingresan a la empresa a través del correo electrónico es hacer que la política nunca abra correos electrónicos sospechosos o correos electrónicos de fuentes desconocidas.

En realidad, los atacantes ahora usan una combinación de métodos para violar las defensas de las empresas, además hay nuevas amenazas en evolución, como la piratería sin archivos y los ataques de malware sin archivos facilitados por el lenguaje de secuencias de comandos PowerShell que ya está integrado en Windows. Algunas formas básicas en que su empresa puede mejorar la seguridad contra los ataques de ingeniería social son:

• Bloqueo de la entrega de archivos adjuntos de correo electrónico con extensiones ejecutables, por ejemplo (.exe, .src), sistema (.dll, .sys), script (.bat, .js, .vbs) y otros archivos (.js, .mht, .cmd).
• Autenticar el dominio de un remitente de correo electrónico, por ejemplo, utilizando el marco de política del remitente (SPF) y los protocolos DomainKeys Identified Mail (DKIM).
• Autenticar la identidad de un remitente utilizando otros protocolos, por ejemplo, Autenticación de mensajes basada en dominio.
  Protocolo de conformidad (Dmarc).
• Actualización regular del sistema operativo, antivirus y otros parches de software.
• Implementación de un sistema de detección de malware bajo demanda.
• Escaneo de archivos antes y después de abrirlos.