Consejos para evitar el Phishing a través de las redes sociales
El uso de técnicas de Phising en Twitter o Facebook no es nuevo, pero es cuestión de tiempo que las redes sociales a nivel corporativo sean utilizadas para llevar a cabo ataques mucho más complejos.
Dos de las redes sociales más populares a nivel mundial, Facebook y Twitter, han sido noticia últimamente por los ataques de Phishing que están sufriendo. No obstante, la mayoría de ataques de Phishing en busca de datos corporativos no tienen su objetivo en las redes sociales, al menos no por el momento.
Tal y como ha indicado Royht Belani, CEO de la compañía Intrepidus Group, “los ataques de Phishing en estas redes sociales no se ha extendido aún, pero nuestra previsión es que ocurra en breve. El motivo por el que estos ataques no están todavía generalizados es porque las empresas se encuentran en un periodo de transición a la hora de que sus empleados utilicen las redes sociales en su trabajo. Por tanto, en el momento en que este transición se lleve a cabo, los ataques de Phising se multiplicarán exponencialmente”.
En el caso de Twitter, los ataques estarán favorecidos por esas direcciones URL cortas que se emplean habitualmente para mostrar información adicional al mensaje. “El usuario no tendrá ni idea de donde va a ir a parar en el momento en el que haga clic en ellas. Los phishers sacarán mucho provecho de esta situación”.
A principios de año, el Grupo Intrepidus llevó a cabo un estudio a unos 69.000 empleados de compañías de todo el mundo utilizando 32 escenarios de Phishing distintos.
Lo que encontraron es que el 23% de ellos era susceptible de ser atacado por alguna de estas técnicas. El 60% de los que respondieron a alguno de estos ataques lo hizo dentro de las tres primeras horas después de haber recibido el e-mail, según se muestra en el estudio.
Con todo esto en mente, a continuación mostramos algunos consejos para que los empleados de las empresas eviten caer en este tipo de técnicas de Phishing:
1. Mostrar casos prácticos. Es importante que a los trabajadores se les muestre de forma práctica un caso real de Phishing para que puedan comprobar por ellos mismos a qué se exponen. Lo ideal es mostrarles las distintas tácticas que los phishers utilizan para conseguir los datos, no sólo dentro de la oficina, sino también fuera.
2. Evaluar las políticas de comunicación. Los negocios deberían echar un vistazo a sus propias políticas en torno a las comunicaciones, algo que permitirá conocer con mayor exactitud el nivel de vulnerabilidad a estos ataques.
3. Sospechar no es paranoico, es algo positivo. Es importante enseñar a los trabajadores a preguntarse por los correos electrónicos, especialmente con los remitentes nuevos. En el momento en el que los usuarios reciban un mensaje o fichero adjunto inesperado o inusual, será importante que confirmen su validez, pero a través de otros métodos offline.