¿Crees que has recibido un documento importante de RR.HH.? Ten cuidado.
El informe trimestral de prueba de phishing de KnowBe4 encontró que los actores de amenazas en el segundo trimestre a menudo tuvieron éxito con correos electrónicos que suplantaban a los departamentos de recursos humanos. Después de que se produjera un clic desafortunado, los enlaces en el cuerpo de los correos electrónicos y los documentos PDF eran vectores comunes de ataques.
TechRepublic habló con el defensor de la concienciación sobre la seguridad de KnowBe4, Erich Kron, sobre los resultados de las pruebas de phishing y cómo mantener a las empresas a salvo de ataques de phishing generativos y en constante evolución impulsados por IA.
Los correos electrónicos falsos de RR.HH. encabezan la lista de estafas de ingeniería social
Algunos atacantes utilizan mensajes falsos de RR.HH. para hacer creer a los empleados que hacer clic en un enlace o ver un documento es urgente. Según el informe:
- El 42% de las líneas de asunto de correo electrónico relacionadas con la empresa estudiadas estaban relacionadas con RR.HH.
- Otro 30% estaba relacionado con TI.
- Muchas de estas líneas de asunto jugaban con las emociones de los empleados en el trabajo, como “Se dejó un comentario en su solicitud de tiempo libre” o “Posible error tipográfico”.
“Si tienes una fuerte respuesta emocional a un mensaje de texto, una llamada telefónica o un correo electrónico, debemos respirar profundamente, dar un paso atrás y mirarlo de manera muy crítica”, dijo Kron. “Porque estos son ataques de ingeniería social y realmente funcionan para llevarte a un estado emocional en el que cometes errores”.
Otros ataques recientes provienen de correos electrónicos que falsifican mensajes de Microsoft o Amazon.
Los correos electrónicos de phishing con códigos QR también han engañado a los empleados. Al igual que los enlaces maliciosos, estos códigos QR generalmente se encuentran en correos electrónicos que supuestamente provienen de empresas conocidas, recursos humanos o TI.
“El aumento continuo de los correos electrónicos de phishing relacionados con recursos humanos es especialmente preocupante, ya que apuntan a los cimientos mismos de la confianza organizacional”, dijo Stu Sjouwerman, director ejecutivo de KnowBe4, en un comunicado de prensa del 7 de agosto. “Además, el aumento de los códigos QR en Los intentos de phishing añaden otra capa de complejidad a estas amenazas”.
KnowBe4 descubrió que las industrias de atención médica y farmacéutica eran las más susceptibles a los ataques de phishing, seguidas por la hotelería, la educación y los seguros, con algunas variaciones según los diferentes tamaños de organizaciones.
¿Cómo funciona el informe de phishing de KnowBe4?
KnowBe4 recopila información de sus clientes y de su portal de informes de phishing, que cualquier empresa puede utilizar, para su informe trimestral de evaluación comparativa de la industria.
KnowBe4, que vende una plataforma de phishing simulada, lanza ataques de phishing falsos contra empresas para probar su resiliencia. Específicamente, KnowBe4 evaluó los tipos de ataques en los que cae la gente y cómo una capacitación como la suya mantiene a las empresas más seguras frente a los ciberataques.
Los datos provienen de 54 millones de pruebas de phishing simuladas, que afectaron a más de 11,9 millones de usuarios de 55.675 organizaciones de todo el mundo.
“Muchas veces tomamos los reales [phishing attacks] que existen y convertirlos en simulados”, dijo Kron. “Así que hacemos lo que llamamos quitarles los colmillos, porque sabemos que eso es realmente lo que está pasando ahí fuera”.
El informe midió el “porcentaje propenso a phishing”, una evaluación patentada del porcentaje de “empleados que probablemente caigan en estafas de ingeniería social o phishing”. El PPA promedio cayó del 34,3 % a solo el 4,6 % después de un año de capacitación continua y pruebas de phishing.
VER: La diferencia entre phishing y phishing es si el ataque es generalizado o está diseñado para una persona específica.
Cómo las empresas pueden reducir la vulnerabilidad a los ataques de phishing
Las organizaciones deben dejar claro a los empleados que los correos electrónicos de phishing pueden no estar tan llenos de errores tipográficos o solicitudes descaradas de dinero como solían estar.
“La IA generativa realmente ha ayudado con las traducciones y la limpieza de las cosas”, dijo Kron, “y les permitió [attackers] escalar mucho más sin todos esos errores que normalmente veríamos”.
Los empleados deben recordar mirar de cerca las URL y las direcciones de correo electrónico. Deberían considerar si un correo electrónico con un asunto que incluya la palabra “urgente” es realmente lo que parece.
Por ejemplo, “¿Realmente vino de mi jefe o solo dice su nombre?” dijo Kron.
Los filtros antispam o antivirus pueden detectar algunos ataques de ingeniería social y phishing, mientras que la autenticación multifactor puede limitar el alcance de los atacantes incluso si la víctima hace clic en un enlace o escanea un código QR. Junto a KnowBe4, empresas como Sophos, Proofpoint, Ninjio Hoxhunt, Cofense y otras ofrecen formación en seguridad mediante ataques simulados.
En general, asegúrese de que los empleados estén atentos, ya sea que esa vigilancia se ponga a prueba con una prueba de phishing regular o no.
“Esté un poco nervioso al respecto”, dijo Kron.
