martes, diciembre 7, 2021
InicioActualidadConoce Qué Es El Spear Phishing Y Cómo Puedes Evitarlo

Conoce Qué Es El Spear Phishing Y Cómo Puedes Evitarlo

El spear phishing se refiere a un mensaje de correo electrónico malicioso que se dirige a una organización, función o incluso a una persona específica. Se basa en información fácilmente disponible (a menudo de las redes sociales) como el nombre, las relaciones familiares, el trabajo, los pasatiempos o los intereses.

Cuando los mensajes cuidadosamente elaborados se refieren a los verdaderos intereses o hechos de una persona, es más probable que tengan éxito que los correos electrónicos de phishing genéricos.

Recientemente estuvimos conversando con CertiSur, una empresa líder con años de experiencia en todo lo relacionado a seguridad digital. Ellos explicaron de qué se trata esta modalidad y cómo se pueden evitar este tipo de ataques que son capaces de engañar a cualquiera.

¿Cómo Funciona El Spear Phishing?

Muchos actores de amenazas buscan explotar algo fácil. Pero hay un grupo más pequeño de ellos que son más persistentes en ganar su «día de pago» a través de medios más enfocados y maliciosos. Si bien una campaña general de phishing se puede enviar a miles de bandejas de entrada en un instante, pocos usuarios pueden caer en la trampa, dejando al actor de amenazas con un mal retorno de su inversión.

El esfuerzo adicional que se necesita para apuntar a las personas dentro de una organización, departamento o incluso equipo a menudo vale la pena para un actor de amenazas. Cuando una campaña general de phishing podría proporcionar una pequeña recompensa, un intento de spear phishing altamente dirigido podría comprometer a una parte interesada clave, proporcionando más influencia a un actor de amenazas y más daño potencial a una organización víctima.

Según Microsoft, estos ataques a menudo engañan a los empleados más conocedores de la tecnología por ejemplo a los responsables de la toma de decisiones porque están muy dirigidos; los mensajes en sí mismos podrían ser indistinguibles de una solicitud o llamada a la acción legítimas. La información personalizada, incluso algo tan simple como el nombre, el estado civil o un tema que resuene con el destinatario previsto, podría ayudar a convencer al destinatario de que haga lo que el mensaje malicioso solicite.

¿Cómo Detectar Un Ataque De Spear Phishing?

Si bien los ataques de spear phishing a menudo se dirigen a los tomadores de decisiones de alto nivel dentro de una organización, es útil llevar este tipo de conciencia a toda la empresa. Algunos otros roles específicos, en particular, incluyen: 

  • Reclutadores (ya que a menudo reciben currículums y otros documentos importantes por correo electrónico)
  • Profesionales de TI (ya que poseen credenciales importantes para herramientas internas sensibles) 
  • Incluso contrataciones recientes (ya que pueden ser víctimas de campañas bien conocidas por colegas con más experiencia). 

El spear phishing se puede adaptar a cualquier función o incluso a cualquier persona, por lo que recomendamos encarecidamente la capacitación en phishing y conciencia cibernética para todos los miembros de su organización, independientemente del puesto de trabajo. 

Algunos conceptos a tener en cuenta para frustrar un posible ataque de spear phishing son los siguientes:

Esté atento a cualquier señal de alerta técnica. ¿Este mensaje proviene de una dirección de correo electrónico / número de teléfono legítimo? 

Si el mensaje está escrito para crear una sensación de urgencia, esto debería alertar al usuario final. Si la llamada a la acción debe realizarse en un plazo breve, se debe considerar una autenticación adicional. 

¿El tono del mensaje está alineado con la cultura habitual de la organización? Esté atento a cualquier inconsistencia en la naturaleza de las solicitudes / métodos de comunicación.

Anime a los empleados a reportar cualquier mensaje sospechoso lo antes posible.

Si necesita más información o desea obtener asesoría con respecto al tema contacte a CertiSur, ellos podrán ayudarle a solucionar cualquier inconveniente relacionado a seguridad web.

RELATED ARTICLES

Most Popular

Recent Comments