Ryan Wright, el profesor de comercio C. Coleman McGehee en la UVA, se especializa en ciberseguridad y trabaja con el equipo de seguridad de la información de UVA para mejorar la ciberseguridad en la Universidad. Crédito:Dan Addison, Comunicaciones Universitarias
Probablemente tenga un correo electrónico de phishing en su bandeja de entrada en este momento.
Podría ser una estafa obvia, pero es más probable que sea una nota insidiosamente amistosa que parece ser de un colega o amigo, pidiéndole que haga clic en este enlace o abra ese archivo adjunto. Si lo haces, un pirata informático podría acceder a su nombre de usuario y contraseña, potencialmente robar tesoros de datos y poner en peligro a toda su organización
"Las estafas de suplantación de identidad han cambiado sustancialmente en los últimos tres años, "dijo Ryan Wright, el Profesor de Comercio C. Coleman McGehee en la Escuela de Comercio McIntire de la Universidad de Virginia. Hackers él dijo, han pasado de enviar millones de correos electrónicos falsos a apuntar despiadadamente a usuarios individuales, a menudo usando información de cuentas de redes sociales para hacerse pasar por colegas, amigos o familiares.
Wright investiga y enseña sobre ciberseguridad y trabaja con el director de seguridad de la información de UVA, Jason Belford, para mejorar la ciberseguridad en la Universidad. También está trabajando con el vicepresidente de tecnología de la información, Ronald R. Hutchins, para desarrollar una nueva capacitación contra el phishing para todos los empleados estatales.
Estos son sus consejos para protegerse a sí mismo y a su organización.
Comprender cómo funcionan realmente las estafas de phishing
Las estafas de phishing por correo electrónico son la técnica más común que utilizan los piratas informáticos para acceder a nombres de usuario y contraseñas individuales y, por lo tanto, infiltrarse en organizaciones enteras.
Aunque normalmente imaginamos a los piratas informáticos como genios informáticos que crean sus propios programas, Wright dijo que la mayoría simplemente compra software de phishing de la web oscura y lo usa para configurar una estafa de phishing por correo electrónico.
Si los usuarios hacen clic en un enlace o archivo adjunto en el correo electrónico de phishing, están dirigidos a una página web falsa, como los sitios respaldados por Rusia descubiertos por Microsoft esta semana. El malware codificado en el sitio roba su información, normalmente su nombre de usuario y contraseña.
Los piratas informáticos pueden hacerse pasar por un usuario para acceder a la información de una organización. Solo un clic de un usuario, ha provocado importantes ataques a organizaciones, desde Target hasta el gobierno de EE. UU., a pesar de sus mejores esfuerzos para proteger sus fronteras técnicas.
Según Wright, la página web de phishing promedio dura unos siete días, porque las tasas de respuesta a cualquier correo electrónico de phishing, al igual que un correo electrónico normal, disminuyen drásticamente después de 24 a 36 horas.
"Los piratas informáticos saben que solo necesitan un sitio durante unos días, "Dijo Wright." Ellos establecieron millones de ellos. Identificarlos es un poco como jugar a 'Whac-a-Mole':no puedes eliminarlos lo suficientemente rápido ".
Entiende que eres el objetivo no tu computadora
"Tendemos a pensar en la ciberseguridad como un problema técnico, pero es realmente un problema humano, "Dijo Wright." Del noventa al 95 por ciento de los ataques a organizaciones son ataques a personas individuales ".
Un estudio reciente sobre ciberseguridad en el trabajo, lanzado este mes, descubrió que los empleados individuales son el mayor factor de riesgo para las organizaciones. Casi dos de cada cinco encuestados admitieron haber hecho clic en un enlace o archivo adjunto dudoso, alrededor del 40 por ciento de la fuerza laboral.
Según Wright, la estafa de phishing promedio actual se dirige a unas nueve personas, utilizando información de su LinkedIn, Facebook y otras cuentas de redes sociales para personalizar cada mensaje y hacerse pasar por miembros de la familia, amigos o colegas.
"Estos son muy, campañas muy específicas, ", dijo." Es importante entender que usted es el objetivo, no solo tu computadora ".
Practica el mindfulness tecnológico
Probablemente pienses en la atención plena como algo más adecuado para tu esterilla de yoga que tu bandeja de entrada, pero la investigación de Wright muestra que el entrenamiento de la atención plena es un 38 por ciento más efectivo para prevenir los ataques que el entrenamiento tradicional contra el phishing.
Ese número proviene de experimentos de campo que Wright y sus colegas llevaron a cabo en una gran organización, enviar sus propios correos electrónicos de phishing a un grupo capacitado en técnicas de atención plena, uno entrenado en técnicas tradicionales basadas en claves (es decir, buscando líneas de asunto sospechosas, ortografía y otras señales) y un grupo de control sin entrenamiento.
"El entrenamiento basado en señales es ciertamente mejor que nada, pero el entrenamiento de atención plena mejoró los resultados en aproximadamente un 38 por ciento, ", Dijo Wright." Cuando los piratas informáticos solo buscan un clic, ese es un número bastante significativo ".
Si bien la capacitación basada en señales les enseña a los usuarios a buscar una lista larga y cambiante de características de correo electrónico, El entrenamiento de mindfulness se centra en lograr que los usuarios "detengan, pensar y actuar "antes de hacer clic en algo, confiando en sus instintos si algo se siente mal.
"Incluso la pausa más breve alerta a tus instintos, conduciendo a una mejor decisión la mayoría de las veces, ", Dijo Wright." A menudo usamos la tecnología de manera bastante inconsciente; si hace una pausa y está más atento por un segundo, entonces ya has ganado ".
Confíe en sus compañeros de trabajo
Wright lo llama "el cortafuegos humano":la red de relaciones e interacciones humanas que puede hacer que sea mucho más difícil para los piratas informáticos violar una organización. Consiste no solo en personal de tecnología de la información, sino de compañeros de trabajo que dependen unos de otros para detectar actividades sospechosas y comunicarse con el grupo.
"Nuestra investigación ha demostrado que es mucho más probable que las personas acudan a sus compañeros de trabajo con una pregunta de seguridad antes de ir a TI, ", Dijo Wright. Los departamentos de TI deben fomentar ese comportamiento en lugar de desalentarlo, él dijo, y ayudar a personas influyentes clave en diferentes departamentos a difundir la información correcta.
"Si recibes un correo electrónico extraño y te diriges a alguien en el cubículo de al lado para preguntar al respecto, ya has ganado ", Dijo Wright." Ese tipo de conciencia difunde prácticas de seguridad positivas en toda la organización ".
Lea un artículo de noticias sobre ciberseguridad cada trimestre
Para aumentar su conciencia sobre los riesgos de seguridad, Wright sugiere monitorear la prensa popular en busca de artículos de noticias sobre ciberseguridad y leer al menos uno cada trimestre. Incluso ese poco de lectura lo ayudará a mantenerse al tanto e informado sobre las últimas estafas que probablemente verá en su bandeja de entrada. él dijo. Y cuanto mayor sea tu conciencia, menor es su riesgo.
"Cuanto más seguridad tiene en mente, las mejores decisiones que toma la gente, "Dijo Wright.
Como punto de partida, recomienda Krebs sobre seguridad, un sitio web dirigido por el reportero del Washington Post convertido en gurú de la seguridad cibernética Brian Krebs.
