Las campañas desimulación dephishing son una forma eficaz de enseñar a los empleados a detectar mensajes engañosos y ayudar a combatir el phishing. El éxito de estas campañas requiere planificación, comunicación y análisis.
El phishing de correo electrónico es la principal causa de robo de credenciales de inicio de sesión y es un método exitoso utilizado para infectar las redes de TI con ransomware. En el segundo trimestre de 2021, el phishing fue una de las dos técnicas más populares y eficaces utilizadas por los ciberdelincuentes para piratear redes corporativas.
El phishing tiene éxito porque los ciberdelincuentes pueden ocultar contenidos maliciosos para evitar ser detectados por las herramientas de seguridad. También tiene éxito porque engaña y manipula a los empleados, convirtiéndolos en informadores involuntarios.
He aquí algunas pautas para empezar y asegurarse de que su campaña de simulación dephishing funciona.
Pasos para el éxito de una campaña de simulación dephishing
Los ataques de phishing simulado están diseñados para automatizar la formación sobrephishing y ofrecer experiencias de aprendizaje directamente a los empleados. Estos paquetes de formación sobre phishing simulado ofrecen correos electrónicos dephishing de aspecto realista, que se asemejan a las campañas de phishing del mundo real.
Sin embargo, para sacar el máximo partido de una campaña de simulación deph ishing , debe planificarla, conocer el panorama de las amenazas de phishing, comunicarse con los empleados y comprender cómo se corresponden sus objetivos empresariales con sus necesidades de ciberseguridad.
Para sacar el máximo provecho de una prueba dephishing debe seguir estos pasos:
Planifique su estrategia de campaña de simulación dephishing
Todas las buenas pruebas dephishing se basan en un sólido trabajo de preparación. La preparación debe abarcar las siguientes áreas:
-
- Investigue las tendencias actuales del correo electrónico de phishing para enviar mensajes de phishing simulados más realistas: Pregunta a tu equipo o a tus asesores qué tipo de correos electrónicos se están utilizando para atacar tu industria o sector. ¿Son populares las aplicaciones y marcas específicas, por ejemplo, Microsoft 365, como objetivos falsos en las campañas de phishing? Recopila estos datos para utilizarlos durante la parte de "construcción" de tu campaña.
-
- ¿Con qué frecuencia se enviarán los correos electrónicos de phishing simulado? Puede ser semanal, mensual, trimestral, etc. La frecuencia de las campañas debe estar en consonancia con su estrategia global de riesgos de ciberseguridad.
-
- Comuníquese con los empleados. Desarrolle un conjunto de instrucciones claras para los empleados sobre cómo informar de cualquier correo electrónicode phishing identificado y/o ataques de ingeniería social asociados. Esto debe incluir detalles sobre cómo capturar los detalles de la amenaza.
-
- Decidir cómo seguir formando a los empleados que no detectan los correos electrónicosde phishing. Para ello, se debería explorar el uso de la educación "en el punto de necesidad" para centrarse en una formación reforzada.
-
- Esté preparado para ajustar su estrategia y el trabajo de preparación asociado a medida que cambie el panorama del phishing.
Construya su campaña de phishing
Una plataforma deautomatización de campañas de simulación deph ishing permite generar los elementos necesarios para realizar la campaña; esto incluye la creación de phishing plantillas. Una plataforma de automatización de simulación de phishing ofrecerá plantillas basadas en amenazas de phishing del mundo real utilizando las marcas falsificadas más comunes. Dado que determinados sectores tienen amenazas específicas, estas plantillas deben poder modificarse para reflejar esas especificidades.
Lo importante es que las plantillas sean fáciles de ajustar y configurar por el administrador de la campaña mediante una consola de gestión centralizada.
Crear experiencias de aprendizaje que hagan que la formación se mantenga
El objetivo de las campañas de simulación de phishing es educar a los empleados sobre cómo detectar una estafa de phishing y cambiar el comportamiento de "impulso de hacer clic " en el que confían los estafadores. Para garantizar una experiencia de aprendizaje memorable y eficaz, una plataforma de simulación de phishing debe proporcionar una experiencia de aprendizaje "en el punto de necesidad".
Los elementos típicos de este tipo de aprendizaje interactivo son la presentación de un aviso de advertencia, una infografía relevante, una encuesta para capturar métricas para una mayor adaptación de la formación, etc., a cualquier empleado que no detecte un correo electrónico de phishing.
Este punto de necesidad explicará lo que ha sucedido y los peligros asociados a una estafa de phishing. Algunos sistemas avanzados van un paso más allá y enseñan al empleado estrategias para evitar futuros intentos de phishing.
Recoger y analizar las métricas
A medida que avanza la campaña de phishing simulada, se debe animar a los empleados a que informen de los correos electrónicos de phishing observados. El conjunto de instrucciones que desarrolle durante la fase de planificación es la base para que los empleados informen de los intentos de phishing.
Algunas plataformas automatizadas de simulación deph ishing ofrecen un panel de métricas que utiliza los datos capturados de la campaña de phishing simulada para analizar la tasa de éxito de la campaña.
Estas métricas son una parte importante para garantizar la optimización de la formación. Las métricas también le proporcionan la munición necesaria para demostrar al nivel C y al consejo de administración que la formación sobre concienciación en materia de seguridad es eficaz.
Algunas plataformas de simulación proporcionan datos sobre el porcentaje de usuarios vulnerables al ataque y el tipo de dispositivo utilizado para acceder al correo electrónico de phishing. Un mayor nivel de granularidad de los datos métricos facilita la realización de campañas más personalizadas. Estas métricas también permiten mejorar continuamente la eficacia de una campaña de phishing sim ulada para centrarse en un contenido de correo electrónico de phishing cada vez más sofisticado.
Enjuague y repita la campaña de phishing simulada
El panorama del phishing cambia constantemente, ya que los estafadores se esfuerzan por eludir la detección. Para adaptarse a este cambio, las campañas de phishing simuladas también deben actualizarse en consonancia con estos cambios. Esto significa que su campaña de simulación de phishing probablemente cambiará para reflejar el panorama del phishing, con regularidad y a lo largo del tiempo.
La frecuencia viene determinada por el análisis global de los riesgos de seguridad. Las recomendaciones sobre los periodos entre campañas varían, pero cada 4-6 semanas es una buena regla general. Sin embargo, los plazos de entrega de las campañas también deben ajustarse si aparecen cambios significativos en el panorama del phishing, como ocurrió durante la pandemia de Covid-19.
Hora de pescar
Según un estudio realizado por investigadores de la Agencia Sueca de Investigación para la Defensa, el 24% de los destinatarios de correos electrónicos de phishing hacen clic en un enlace y el 21% introducen sus contraseñas en sitios falsos. Esta alarmante cifra demuestra la importancia vital de impartir a los empleados una formación pertinente y específica sobre el phishing.
Pero hacer que esta educación sea eficaz requiere un plan de acción. Siguiendo las sugerencias de MetaCompliance, puede asegurarse de que su campaña de simulación dephishing tenga éxito y detenga los intentos de phishing reales y maliciosos antes de que perjudiquen a su empresa.
