in

¡No seas phishing! Cómo ser el que escapó


Si parece un pato, nada como un pato y croa como un pato, entonces probablemente sea un pato. ¿Cómo se usa la prueba de pato para evitar el phishing?

El otoño es una gran época del año para escaparse y pasar un rato al aire libre. Las tendencias delictivas, por otro lado, parecen intensificar sus campañas de phishing, ya que la eliminación diaria de correos electrónicos y SMS no deseados y maliciosos lleva cada día más tiempo. Octubre es el mes de la concienciación sobre ciberseguridad y la segunda semana de la campaña de un mes que tiene como objetivo llevar la ciberseguridad a un primer plano, está dedicada a “Fight the Phish”.

Las duras verdades

¿Le sorprendería saber que poco más del 60% de los encuestados en una prueba reciente de phishing de ESET a los que se les presentaron cuatro imágenes de phishing o mensajes reales no lograron identificarlos correctamente a todos?

Llamado ESET Phishing Derby y organizado por el equipo de ESET en los EE. UU., El concurso gratuito tiene como objetivo mostrar cuán competentes somos en la identificación de mensajes falsos y reales. El sistema de puntuación se basa en la velocidad y en diferenciar correctamente los mensajes, y el casi 40% que identificó correctamente las muestras puede incluir algunos participantes que identificaron correctamente tres en un tiempo superrápido. En realidad, es probable que el número que identifica correctamente a los cuatro sea menor. El cuestionario no fue diseñado para generar estadísticas, fue diseñado para crear conciencia y educar a los participantes sobre cómo detectar correos electrónicos falsos.

Curiosamente, los resultados muestran una marcada diferencia en la forma en que los participantes más jóvenes, entre las edades de 18 y 24, identificaron correctamente las muestras: 47% en comparación con solo 28% de los mayores de 65 – 36%. En caso de que se esté preguntando acerca de la validez de estos datos, el número de participantes fue de 4.292 y los datos recopilados son un subproducto y no un estudio académico. Se presentó un resultado similar cuando ESET Canadá realizó el mismo cuestionario a fines de 2020, y el 68% de los participantes no identificó correctamente las cuatro muestras. Puedes realizar las pruebas aquí o aquí.

¿Qué acción debemos tomar a partir de los resultados? Si está leyendo este blog, probablemente desee obtener más información sobre ciberseguridad y seguridad en Internet. Así que déjame darte un desafío durante este Mes de Concientización sobre Ciberseguridad 2021: toma el mensaje de ser cuidadoso con el correo electrónico y los mensajes y otras mejores prácticas que puedes usar para mantenerte seguro en línea y comunícalo a tus amigos y familiares, con un enfoque muy especial en ayudar a las personas en sus últimos años, ya que los datos muestran que pueden beneficiarse de un poco más de ayuda.

Dadas las campañas de concientización en curso de organizaciones financieras, empresas de ciberseguridad, gobiernos y similares que están impulsando el mensaje de concientización sobre ciberseguridad, uno podría pensar que este número debería ser más bajo, mucho más bajo, y podría estar de acuerdo. Sin embargo, algunos correos electrónicos de phishing que terminan en las bandejas de entrada están muy bien diseñados y se parecen a los reales, lo que hace que sea mucho más difícil identificarlos como falsificaciones. Este desafío solo se vuelve más difícil a medida que los ciberdelincuentes perfeccionan su arte.

Phresh-Phish

La semana pasada recibí un correo electrónico supuestamente de American Express informándome que se había bloqueado un intento de transacción sospechosa y pidiéndome que revisara las transacciones recientes. A primera vista, el correo electrónico parece legítimo, está bien escrito y tiene buenos gráficos, pero hay algunas señales obvias de que el correo electrónico es falso.

En primer lugar, no tengo una tarjeta American Express Business Platinum. Sin embargo, si tiene una cuenta, puede ser comprensible por qué esto lo engañó para dar el siguiente paso, abrirla y posiblemente hacer clic en el enlace interno. Se supone que el correo electrónico evoca una reacción emocional: «Oh no, mi cuenta es fraudulenta, necesito arreglarlo, haz clic».

Además, uno de los identificadores falsos para mí en este correo electrónico en particular es la dirección «Estimado usuario de la tarjeta» y luego la «Cuenta que comienza con 37 *****». American Express conoce a sus clientes y generalmente no se refiere a ellos en sus comunicaciones, y las compañías de tarjetas de crédito suelen utilizar los dígitos finales más exclusivos de un número de cuenta, en lugar de los números menos exclusivos al principio del número de cuenta. Como ex empleado de American Express, sé que todas las tarjetas que emiten comienzan con 3 y el segundo número es un ‘4’ o un ‘7’, por lo que el número utilizado en el correo electrónico es genérico y válido para muchos titulares de tarjetas, una escopeta ciberdelincuente. atrapar a una víctima.

Los recursos informáticos mejorados fácilmente disponibles para los delincuentes cibernéticos lo harán aún más difícil; Por ejemplo, el alquiler de la potencia de la computación en la nube, las enormes cantidades de datos personales disponibles debido a las violaciones de datos y, hasta cierto punto, la financiación de los recientes ciberataques exitosos que se están reinvirtiendo para hacer crecer el negocio de la ciberdelincuencia. Ahora imagine que el correo electrónico de phishing de «American Express» contiene el nombre del titular de la tarjeta y los últimos 4 dígitos del número de la tarjeta, tomados de datos violados, la probabilidad de que el destinatario haga clic en el enlace aumentará sin duda de manera significativa.

Otras señales de alerta para ataques de phishing

Aquí hay algunos consejos más sobre cómo identificar un correo electrónico de phishing:

  • El correo electrónico no se dirige a usted personalmente si el remitente de la empresa que se supone que es sabe quién es usted y, por lo general, envía correos electrónicos que son personales en lugar de generales.
  • Errores gramaticales y ortográficos: a medida que mejoran los correos electrónicos de phishing, léalos dos veces, ya que los errores pueden ser más difíciles de detectar.
  • El correo electrónico no lo ha solicitado una empresa con la que nunca se ha comunicado.
  • Una llamada para tomar medidas urgentes, haga clic en un enlace e inicie sesión para revisar transacciones o similares
  • La dirección de correo electrónico: pase el mouse sobre la dirección de correo electrónico y verifique la dirección real del remitente y el dominio desde el que se envió.
  • Correos electrónicos con archivos adjuntos que dicen ser una factura o algún tipo de notificación, por ejemplo.

Mi recomendación en los casos en que no se tenga certeza de si un correo electrónico es real o falso es visitar el sitio web del supuesto remitente directamente a través de un navegador, iniciar sesión en su cuenta y buscar mensajes. Todo lo importante está en los mensajes de su cuenta o en su bandeja de entrada. Si es necesario, contacte con la empresa y confirme la solicitud.

What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

7 El mejor software de chat en vivo de código abierto para hablar con sus clientes

Las 8 mejores plataformas de blockchain para crear aplicaciones financieras modernas