CIBERSEGURIDAD

Phishing: se puede ver el gancho, ¡pero es poco probable que los empleados lo denuncien!

Una encuesta realizada a más de 200 profesionales de TI en InfoSecurity Europe de este año ha descubierto que, si bien casi el 80% de las organizaciones tienen un proceso para que los empleados denuncien los correos electrónicos de phishing al departamento de TI / seguridad, la mayoría no lo tiene. De hecho, más de la mitad de los empleados con los que se ha hablado (52%) informan menos del 25% de correos electrónicos poco fiables. Profundizar un poco más reveló que solo el 8% piensa que se informa más del 75% de los mensajes sospechosos.
Esta sorprendente estadística se produce a raíz de innumerables incidentes recientes de phishing que han aparecido en los medios de comunicación, y algunos costos de casi £ 50,000. El estudio, realizado por Phish’d por MWR InfoSecurity, un servicio de evaluación de phishing totalmente administrado diseñado para mantener un mayor nivel de conciencia de seguridad en toda una organización, encontró que las organizaciones son muy conscientes de que el correo electrónico ofrece un pasaje a la infraestructura de una organización con 64 % cree que es el punto de entrada más débil que podría resultar en el compromiso de los sistemas internos.
“Me tranquiliza el alto porcentaje de organizaciones que tienen un proceso de notificación de mensajes de phishing, pero en algún momento algo va mal, ya que los empleados simplemente no utilizan estos procesos de notificación. La triste realidad es que, si bien los filtros de correo no deseado y el software anti-phishing evitarán que algunos de los mensajes molestos lleguen a las bandejas de entrada de las personas, los mensajes de phishing más específicos están diseñados a propósito para evitar la detección y, por lo general, llegan al destinatario previsto, incluso en empresas que utilizan el últimos controles tecnológicos. En última instancia, depende de los empleados informar de los ataques de phishing dirigidos; por lo que las organizaciones deben asegurarse de que su fuerza laboral esté lo suficientemente educada y capacitada para usar el proceso de informes correcto ”, explica James Moore, consultor de seguridad senior de Phish’d.
James continúa: “Nuestras experiencias nos dicen que, si un mensaje de phishing logra coaccionar a la persona para que haga clic o descargue una carga útil, es casi seguro que el malware que distribuye ingrese y luego se oculte. Una vez en la red, el malware puede permitir que un atacante comience a extenderse por una red; convirtiendo el compromiso de la estación de trabajo de un usuario en un problema mucho mayor. Por supuesto, lo ideal es que los usuarios no sean engañados en primer lugar, pero, asumiendo que alguien será engañado, si otros colegas informaron el mensaje, el equipo de TI al menos puede ser consciente de que algo puede haber entrado y comenzar a rastrear a otros posibles. puntos de entrada para contener el daño y erradicar la infección ”.
Incluso las empresas que tienen herramientas efectivas para informar correos electrónicos fraudulentos tienden a no capacitar a sus empleados sobre cómo detectarlos, ya que solo el 45% de las empresas encuestadas durante esta encuesta capacitan regularmente a su personal para detectar amigos de enemigos en sus bandejas de entrada. Las organizaciones a menudo se apresuran a asegurar a sus clientes que mantienen los datos seguros y mantienen estrictamente sus defensas contra los ciberdelincuentes; sin embargo, esta encuesta destaca que incluso las empresas que tienen planes y procesos para evitar que el phishing se utilice como vector de ataque, la falta de implementación debilita las defensas.

Para obtener más información sobre Phish’d, visite https://www.phishd.com/

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar