Hay un hilo conductor que conecta el hack en los controladores de esclusa de la presa de Bowman Avenue en Rye, Nueva York ; la brecha que comprometió 20 millones de registros de empleados federales en la Oficina de Administración de Personal ; y la reciente ola deataques "ransomware" que en tres meses de este año ya han nos costó más de US $ 200 millones : todos eran debido al éxito "spearphishing" ataques .
Genérico - o lo que ahora se consideran "vieja escuela" - los ataques de phishing normalmente tomaban la forma de los famosos mensajes de correo electrónico de tipo "príncipe de Nigeria", tratando de engañar a los destinatarios a responder con una cierta información financiera personal. ataques "spearphishing" son similares pero mucho más vicioso. Tratan de convencer a las víctimas a hacer clic en un hipervínculo o un archivo adjunto que por lo general se despliega el software (llamado "malware") que permite el acceso a los atacantes el ordenador del usuario o incluso a toda una red corporativa. A veces los ataques de este tipo también vienen a través de mensajes de texto, mensajes de redes sociales o memorias USB infectadas.
La triste realidad es que no hay mucho que podamos hacer para detener este tipo de ataques. Esto es en parte debido a spearphishing implica una práctica conocida comoingeniería social , en el que los ataques son altamente personalizados, por lo que es particularmente difícil para las víctimas para detectar el engaño. Defensas técnicas existentes, como el software antivirus y supervisión de la seguridad de la red, están diseñados para proteger contra los ataques de fuera de la computadora o red. Una vez que los atacantes puedan ingresar a través spearphishing, asumen el papel de la interna de confianza, los usuarios legítimos de protección contra la que el software es inútil.
Esto nos hace a todos los usuarios de Internet los únicos guardianes de nuestros ordenadores y redes de organización - y los eslabones más débiles de la seguridad del ciberespacio.
El verdadero objetivo son los seres humanos
Detener spearphishing nos obliga a construir mejores defensas alrededor de la gente.Esto, a su vez, requiere una comprensión de por qué las personas son víctimas de este tipo de ataques. Investigaciones recientes de mi equipo en la psicología de las personas que utilizan computadoras desarrolló una manera de entender exactamente cómo los ataques spearphishing se aprovechan de las debilidades en los comportamientos en línea de las personas. Se llama la Sospecha, Cognición, Automaticidad Modelo (SCAM) .
Construimos SCAM usando ataques simulados spearphishing - realizado después de obtener el permiso de los grupos de investigación universitarios de supervisión que regulan experimentos en seres humanos para asegurar que nada inapropiado que está sucediendo - en las personas que se ofrecieron a participar en nuestras pruebas.
Encontramos dos razones principales por las personas son víctimas. Un factor que parece ser que las personas buscan, naturalmente, lo que se llama "eficiencia cognitiva" - el máximo de información para el mínimo esfuerzo cerebro. Como resultado de ello, toman atajos mentales que son accionados por los logotipos, marcas o frases tan simples como "Enviado desde mi iPhone" que los phishers a menudo incluyen en sus mensajes. La gente ve esos disparadores - como el logotipo de su banco - y asumen un mensaje es más probable que sea legítimo. Como resultado, ellos no examinan adecuadamente los elementos de la solicitud de la phisher, tales como los errores ortográficos en el mensaje, su intención, o la información de la cabecera del mensaje , que podrían ayudar a revelar el engaño.
Para agravar este problema son las creencias de las personas que las acciones en línea son inherentemente segura. Detección (erróneamente) que tienen un riesgo bajo hace que se ponen relativamente poco esfuerzo en la revisión de cerca el mensaje en primer lugar.
Nuestra investigación muestra que la cobertura de noticias que se ha centrado principalmente en los ataques de malware en los ordenadores ha hecho que muchas personas creen equivocadamente que los sistemas operativos móviles son de alguna manera más segura. Otros muchos erróneamente creen que los PDF de Adobe es más seguro que un documento de Microsoft Word, pensando que su incapacidad para editar un archivo PDF se traduce en la imposibilidad de estar infectado con malware. Todavía otros piensan erróneamente de Google conexión Wi-Fi, que está disponible en algunas tiendas de café populares, es inherentemente más seguro que otros servicios gratuitos de Wi-Fi.Ese tipo de malentendidos hacen que los usuarios más atrevidas acerca de la apertura de determinados formatos de archivo, y más descuidados durante el uso de ciertos dispositivos o redes - todo lo cual mejora significativamente el riesgo de infección.
Hábitos afectar la seguridad
Otro factor que a menudo ignorado, implica las formas habituales de personas utilizan la tecnología. Muchas personas utilizan el correo electrónico, redes sociales y mensajes de texto con tanta frecuencia que finalmente lo hacen en gran medida sin pensar. Pregunte a las personas que manejan la misma ruta cada día cuántas luces de frenado, vieron o se detuvo en el camino y que a menudo no pueden recordar. Del mismo modo, cuando el uso de los medios de comunicación se convierte en rutina, la gente se vuelve cada vez menos conscientes de los correos electrónicos que se abrió y qué enlaces o archivos adjuntos que hace clic, en última instancia, convertirse en apenas consciente en absoluto. Le puede pasar a cualquiera, incluso el director del FBI .
Esa vez el director del FBI, Robert Mueller, casi se cae en una estafa de phishing.
Cuando el uso de la tecnología se convierte en un hábito en lugar de un acto consciente, la gente es más probable que comprueben e incluso responder a mensajes al caminar, hablar o, peor aún, la conducción. Al igual que esta falta de atención conduce a accidentes, sino que también conduce a la gente de apertura correos electrónicos de phishing y haciendo clic en hipervínculos maliciosos y archivos adjuntos sin pensar.
Actualmente, la única forma real de prevenir spearphishing es la formación de los usuarios, por lo general mediante la simulación de ataques de phishing y repasando los resultados después, destacando los elementos de ataque perdió un usuario. Algunas organizaciones castigan a los empleados que en repetidas ocasiones no superen dichas pruebas. Este método, sin embargo, es similar al envío de los malos conductores hacia fuera en una carretera sufre de amenazas, exigiendo que evitar todos los obstáculos y emisión de billetes ellos cuando no lo hacen. Es mucho mejor para entender realmente dónde se carece de sus habilidades y les enseñan cómo conducir correctamente.
Identificación de los problemas
Ahí es donde entra en juego nuestro modelo. Proporciona un marco para la localización de por qué las personas son víctimas de diferentes tipos de ataques cibernéticos. En su nivel más básico, el modelo permite a las empresas medir la susceptibilidad de cada empleado para spearphishing ataques e identificar individuos y grupos de trabajo que están en mayor riesgo.
Cuando se utiliza junto con las pruebas de simulación de ataque de phishing, nuestro modelo permite a las organizaciones identificar cómo es probable que un empleado a ser presa de un ataque cibernético y determinar cómo reducir los riesgos específicos de esa persona. Por ejemplo, si una persona no se centra en el correo electrónico y comprueba si se mientras hace otras cosas, que podía ser enseñado a cambiar ese hábito y prestar más atención. Si otra persona cree erróneamente que estaba a salvo en línea, que podía ser enseñado lo contrario. Si otras personas estaban tomando atajos mentales provocados por el logos, la compañía podría ayudarles a trabajar para cambiar ese comportamiento.
Por último, nuestro método puede ayudar a las empresas a determinar la "super" - detectores de personas que constantemente detectan el engaño en ataques simulados.Podemos identificar los aspectos específicos de su pensamiento o comportamientos que les ayudan en su detección y urgen a otros a adoptar esos enfoques. Por ejemplo, tal vez buenos detectores examinan la información de cabecera mensajes de correo electrónico ', que puede revelar la identidad real del remitente. Otros destinar ciertas horas del día para responder a los correos electrónicos importantes, dándoles más tiempo para examinar los correos electrónicos en detalle. La identificación de esos y otros hábitos que aumenten la seguridad puede ayudar a desarrollar directrices de mejores prácticas para otros empleados.
Sí, las personas son los eslabones más débiles de la seguridad cibernética. Pero ellos no tienen que ser. Con el entrenamiento inteligente, individualizado, podríamos convertir muchos de estos puntos débiles en los detectores fuertes - y, al hacerlo, fortalecer significativamente la seguridad cibernética.
This post have 0 komentar
EmoticonEmoticon