Los resultados del "Informe de tendencias de la actividad de phishing" del Anti-Phishing Working Group (APWG) indican que en 2016 se produjeron más de 1,2 millones de ataques de phishing conocidos. Esto supone un enorme aumento del 65% con respecto a 2015, y es el total anual más alto desde que el APWG comenzó a supervisar los ataques en 2004.
Los correos electrónicosde phishing están diseñados para llamar la atención y provocar una respuesta inmediata, de modo que la víctima potencial reaccione rápidamente y haga clic en la llamada a la acción fraudulenta. Por término medio, los sitios de phishing están en línea durante menos de 15 horas, lo que hace muy difícil identificarlos y bloquearlos rápidamente. Además, cerca del 100% de las URL de phishing apuntan a páginas o sitios maliciosos dentro de dominios benignos, lo que les ayuda a parecer fuentes legítimas.
Es este nivel de sofisticación el que hace que el phishing sea tan retorcido. Suele llegar como un correo electrónico de aspecto inofensivo y le convence para que actúe, normalmente haciendo clic en un enlace o abriendo un archivo. Y en ese momento, se acabó el juego.
Sin duda, hay muchos que saben qué buscar en un correo electrónico de phishing. Sin embargo, sólo hace falta que una persona actúe sobre un correo electrónico de phishing para que provoque daños financieros y de reputación a su empresa. Por eso consideramos tan importante utilizar una prueba de phishing para sus empleados.
Test de phishing - Cómo detectar un correo electrónico falso
La mayoría de nosotros tenemos cuentas de PayPal, por lo que es natural que si recibimos un correo electrónico de la gente de PayPal queramos comprobarlo.
Muchas personas probablemente harían clic en el siguiente correo electrónico, pero al utilizar regularmente este tipo de ejercicio de phishing para sus usuarios podrán identificar lo siguiente al mirar el siguiente correo electrónico:
- ¿Es la dirección vinculada a su cuenta de PayPal? ¿Qué dice realmente el campo "para"?
- La mala gramática y la ortografía son signos evidentes de phishing, especialmente en el caso de las grandes empresas que tienen redactores y editores en nómina para asegurarse de que esto no se produzca en la comunicación externa
- No hay personalización: el nombre está en blanco y en su lugar es sólo un genérico "Hola, cliente de PayPal"
- Táctica de miedo: los ataques de phishing a menudo le harán pensar que algo está mal con su cuenta, como "Su cuenta PayPal está limitada" para asustarle y que haga clic en la llamada a la acción.
Si realiza regularmente una prueba de phishing en su organización, aumentará la concienciación de sus empleados en materia de ciberseguridad y les permitirá detectar estos signos reveladores clave en los correos electrónicos de phishing. Sin embargo, muchos ciberdelincuentes son más sofisticados que esto y pueden evitar hábilmente todos los puntos anteriores.
Laformación es fundamental para protegerse de los ataques de phishing y la realización de pruebas de phishing es integral para la protección de su empresa. Puede parecer una idea sencilla, pero la formación es eficaz. Si enseñas al personal a qué debe prestar atención cuando se trata de un correo electrónico de phishing, ya estás recorriendo un largo camino para protegerte a ti mismo y a tu empresa de un ataque de phishing.
¿Te has visto sorprendido por un correo electrónico de phishing, o has visto alguna de las señales de peligro con antelación y has podido identificarlo antes de que fuera demasiado tarde? Háganoslo saber en los comentarios más abajo.