Es tarde un viernes por la noche en la oficina cuando llega a su bandeja de entrada un mensaje del director general titulado «¡Se necesita un traslado urgente lo antes posible!» ¿Qué hace? 

Este es un escenario con el que demasiadas personas están cada vez más familiarizadas en el mundo digital moderno. Por desgracia, la mordedura de los ataques de phishing se está dejando sentir en todo el Reino Unido y en todo el mundo con  2016 fue testigo de un aumento masivo del 65%. Esto hace que muchas organizaciones se enfrenten a la creciente presión de proteger y educar adecuadamente a sus empleados con respecto a estas amenazas. Entonces, ¿qué comprende un correo electrónico de phishing? A continuación se indican algunos  consejos escritos desde la perspectiva de un hacker «Guía de MataHacky» sobre cómo detectar a los phish y ¡contraatacar!

¡#1 Está bien mantenerlo generalizado…pero si eres un verdadero profesional Spear Phish!

Al empezar y dirigirse a varias personas de una sola vez, está bien mantener la nomenclatura general, ya que sólo buscamos que pique un tonto. Por ejemplo,  «Estimado cliente» es suficiente para abrir y a menudo lo pasará por alto un incauto en movimiento con su ajetreada vida. Muchos de ellos ni siquiera se cuestionarán que el correo electrónico no está personalizado y que usted no se dirige a ellos por su nombre. Sin embargo, es importante señalar que a medida que aumente la concienciación, cada vez más personas empezarán a considerar esta generalización como un detector de amenazas. Esto nos lleva a donde está el verdadero dinero y el juego cambia de ritmo-.  ¡phishing con arpón! Básicamente, se trata de investigar a su objetivo, averiguar su nombre, lugar de trabajo e incluso el nombre de su jefe ¡para crear un phishing personalizado súper convincente!

#nº 2 ¡Cree una sensación de urgencia!

Ésta es la clave. Debe infundir miedo en la audiencia. Sin esto pueden fijarse más en los otros defectos de su correo electrónico, como las faltas de ortografía, y volverse cautelosos. Como un caballo fuera de la trampa hay que entrar enseguida. Empiece por el asunto del correo electrónico  «Urgente: actividad sospechosa en su cuenta X» suele ser una buena forma de abrir y captar su atención. Recuerde mantener este nivel de urgencia a lo largo de todo su correo electrónico y tendrá las de ganar. El pánico es la clave de un buen phishing. Piense en lo que es más preciado, como detalles que causarán un naufragio financiero o una vergüenza para su reputación, póngalo en una situación de peligro y seguro que pica.

#3 Cuide su ortografía y gramática

Es cierto que si da en el clavo en los otros puntos que he enumerado puede salirse con la suya con alguna que otra falta de ortografía o error gramatical… sin embargo, debe vigilar la cantidad de faltas de ortografía en su texto. Es probable que una o dos pasen desapercibidas, pero el detector de phishing más avispado no se dejará engañar, así que intente repasarlas lo mejor posible. Al fin y al cabo, cualquier empresa corporativa verdaderamente profesional no tendrá faltas de ortografía en los correos electrónicos que envía a sus clientes.

Por otro lado, las faltas de ortografía le ayudarán a crear la lista de tontos perfecta. Es decir, si caen en la trampa de un correo electrónico de phishing lleno de faltas de ortografía, ¿en qué otra cosa podrían caer? Incluso podría compartir los datos de contacto de estos pringados con sus amigos hackers ¡para que también puedan dirigirse a ellos!

#4 ¡Cree una dirección de correo electrónico falsa y enlaces realmente convincentes!

Para asegurarse de que esos tontos muerden el anzuelo y hacen clic en el enlace que les proporciona, debe asegurarse de que la dirección de correo electrónico desde la que opera parece legítima. Un solo carácter que se aleje del verdadero suele ser suficiente para engañarles y que hagan clic en el enlace. Una vez más, la gente no suele prestar atención a los detalles, por lo que si ven que un correo electrónico procede de «[email protected]», muchos pasarán por alto estos pequeños errores. Aplique también la misma idea a sus enlaces. Hágalos parecer tan reales como sea posible y puede salirse con la suya con sólo un pequeño carácter aquí o allá que falte o se añada. La suplantación de identidad es un arte, así que si quiere ser un maestro, ¡más vale que empiece a practicar!

Recuerde que El 91% de los ataques de phishing corporativo contienen falsificaciones de nombres de usuario, El 30% se abre y El 12% de los tontos harán clic en el enlace o en el archivo adjunto, así que sus posibilidades de ganar dinero rápido parecen buenas si se atiene a mis reglas. Buena suerte.

El empleado medio se enfrenta al menos a un correo electrónico de riesgo al día y se prevé que el correo electrónico siga siendo el principal método de ataque hasta 2020. En los dos últimos años, los enlaces fraudulentos enviados a las cuentas de correo electrónico de las empresas han costado a éstas más de 500 millones de euros.  dos mil millones de dólares con El 30% de los clientes se lleva su negocio a otro lugar tras una infracción.

¿Puede permitirse que su organización o incluso su cuenta personal sufran a manos de uno de estos ataques? Si la respuesta es no, entonces puede que le interese nuestro curso eLearning Essential Phishing Awareness que cubre cómo identificar correctamente un phishing y qué hacer cuando detecta uno. También puede complementarlo con nuestro software de simulación de phishing ‘MetaPhish ‘ para ayudar a aumentar la sensibilidad de sus empleados ante los correos electrónicos fraudulentos.

El mayor riesgo de ciberseguridad al que se enfrenta su empresa a diario es la complacencia de los empleados y ahora es el momento adecuado para darle la vuelta a esta situación. Hable con nosotros hoy mismo para obtener más información sobre cómo podría salvar a su organización de un ataque de phishing.