¿Cree que ha recibido un documento importante de RR. HH.? Tenga cuidado. El informe trimestral de pruebas de phishing de KnowBe4 descubrió que los actores de amenazas en el segundo trimestre a menudo tuvieron éxito con correos electrónicos que suplantaban a los departamentos de RR. HH. Después de que se produjo un clic desafortunado, los enlaces en el cuerpo de los correos electrónicos y los documentos PDF fueron vectores comunes para los ataques. TechRepublic habló con el defensor de la conciencia de seguridad de KnowBe4, Erich Kron, sobre los resultados de las pruebas de phishing y cómo mantener a las empresas a salvo de los ataques de phishing generativos impulsados ​​por IA en constante evolución. Los correos electrónicos falsos de RR. HH. encabezan la lista de estafas de ingeniería social Algunos atacantes usan mensajes falsos de RR. HH. para hacer creer a los empleados que hacer clic en un enlace o ver un documento es urgente. Según el informe: El 42% de las líneas de asunto de correo electrónico relacionadas con la empresa estudiadas estaban relacionadas con RR. HH. Otro 30% estaban relacionadas con TI. Muchas de estas líneas de asunto jugaban con las emociones de los empleados en el trabajo, como «Se dejó un comentario en su solicitud de tiempo libre» o «Posible error tipográfico». “Si tienes una fuerte respuesta emocional a un mensaje de texto, una llamada telefónica o un correo electrónico, tenemos que respirar profundamente, dar un paso atrás y analizarlo con mucha crítica”, dijo Kron. “Porque estos son ataques de ingeniería social y realmente funcionan para ponerte en un estado emocional en el que cometes errores”. Otros ataques recientes han provenido de correos electrónicos que falsificaban mensajes de Microsoft o Amazon. KnowBe4 recopiló ejemplos de correos electrónicos de phishing comunes y efectivos. Imagen: KnowBe4 Los correos electrónicos de phishing con códigos QR también han engañado a los empleados. Al igual que los enlaces maliciosos, estos códigos QR suelen encontrarse en correos electrónicos que pretenden ser de empresas conocidas, RR.HH. o TI. “El aumento continuo de los correos electrónicos de phishing relacionados con RR.HH. es especialmente preocupante, ya que apuntan a la base misma de la confianza organizacional”, dijo Stu Sjouwerman, CEO de KnowBe4, en un comunicado de prensa del 7 de agosto. “Además, el aumento de los códigos QR en los intentos de phishing agrega otra capa de complejidad a estas amenazas”. KnowBe4 descubrió que las industrias de atención médica y farmacéutica fueron las más susceptibles a los ataques de phishing, seguidas de la hospitalidad, la educación y los seguros, con algunas variaciones para los diferentes tamaños de las organizaciones. Cobertura de seguridad de lectura obligada ¿Cómo funciona el informe de phishing de KnowBe4? KnowBe4 recopila la información para su Informe trimestral de evaluación comparativa de la industria de sus clientes y de su portal de informes de phishing, que cualquier empresa puede utilizar. KnowBe4, que vende una plataforma de phishing simulada, lanza ataques de phishing falsos contra empresas para probar su resiliencia. Específicamente, KnowBe4 evaluó los tipos de ataques en los que cae la gente y cómo una capacitación como la suya mantiene a las empresas más seguras frente a los ciberataques. Los datos provienen de 54 millones de pruebas de phishing simuladas, que afectaron a más de 11,9 millones de usuarios de 55.675 organizaciones de todo el mundo. «Muchas veces, en realidad tomamos las pruebas reales [phishing attacks] «Los ataques de phishing son una forma de detectar los ataques que existen y convertirlos en ataques simulados», dijo Kron. «Por eso hacemos lo que llamamos desmantelarlos, porque sabemos que eso es lo que realmente está sucediendo». El informe midió el «porcentaje de phishing propenso», una evaluación patentada del porcentaje de «empleados propensos a caer en la ingeniería social o estafas de phishing». El PPP promedio cayó del 34,3% a solo el 4,6% después de un año de capacitación continua y pruebas de phishing. VER: La diferencia entre phishing y phishing selectivo es si el ataque es generalizado o está diseñado para una persona específica. Cómo pueden las empresas reducir la vulnerabilidad a los ataques de phishing Las organizaciones deben dejar en claro a los empleados que los correos electrónicos de phishing pueden no estar tan llenos de errores tipográficos o solicitudes descaradas de dinero como solían estar. «La IA generativa realmente ha ayudado con las traducciones y la limpieza de las cosas», dijo Kron, «y les ha permitido [attackers] Los empleados deben recordar mirar de cerca las URL y las direcciones de correo electrónico. Deben considerar si un correo electrónico con una línea de asunto que incluye la palabra «urgente» realmente es lo que parece. Por ejemplo, «¿Realmente vino de mi jefe o solo dice su nombre?», dijo Kron. Los filtros antispam o antivirus pueden detectar algunos ataques de ingeniería social y phishing, mientras que la autenticación multifactor puede limitar el alcance de los atacantes incluso si la víctima hace clic en un enlace o escanea un código QR. Junto con KnowBe4, empresas como Sophos, Proofpoint, Ninjio Hoxhunt, Cofense y otras ofrecen capacitación en seguridad a través de ataques simulados. En general, asegúrese de que los empleados estén atentos, ya sea que esa vigilancia se pruebe o no con una prueba de phishing regular. «Esté un poco nervioso al respecto», dijo Kron.