Phishing ha sido durante mucho tiempo una parte crucial del arsenal atacantes. La técnica es frecuentemente usado en contra de las empresas y sus empleados, engañarlos para que haga clic en los enlaces y así iniciando diversas campañas maliciosas. Para contrarrestar el éxito de suplantación de identidad, muchas compañías han comenzado varios entrenamientos de los empleados para ayudarles a reconocer los intentos fraudulentos vía e-mail, las redes sociales y en el teléfono.
La psicología de la suplantación de identidad
A pesar de la conciencia y el creciente número de cursos de empresas, la gente todavía no reconocen los intentos de phishing y llegar a ser infectados. En muchos casos, empresas enteras que sufren enormes pérdidas financieras como resultado de un empleado de la apertura de un correo electrónico de phishing y ejecutar el archivo adjunto malicioso dentro de. En otras palabras, saber sobre el phishing no siempre impide clic.
En un par de experimentos llevados a cabo en 2016, investigadores concluido eso 78% de sus sujetos de prueba declararon de hecho eran conscientes de los riesgos asociados con el phishing y la interacción con enlaces desconocidos. Sólo 20% Del primer estudio y 16% del segundo experimento dijo que habían hecho clic en el enlace. Sin embargo, más tarde los investigadores establecieron que respectivamente 45% y 25% había hecho clic en los enlaces. Hicieron los participantes se encuentran? Los investigadores creen que pueden haber olvidado simplemente sobre el mensaje después de haber hecho clic en él.
Así, ¿por qué phishing continúan siendo tan exitoso a pesar de los programas de sensibilización en las organizaciones y la información a disposición? El secreto del éxito radica en la psicología de la suplantación de identidad ... y en los temas de estos correos electrónicos engañosos.
correos electrónicos de phishing son cada vez más difíciles de reconocer y bloquear sólo porque han llegado a ser muy convincente. Además de eso, empleados por lo general no dudan y proceder con la apertura de los correos electrónicos potencialmente peligrosos, incluso cuando son conscientes del riesgo.
“Creo que es hasta tal punto que se está haciendo común,” él dice. “Los usuarios están acostumbrados a ver los correos electrónicos de phishing ahora. Ellos chupan al no responder a ellos o al hacer clic en ellos ... que es alarmante, porque [atacantes] se aprovechan de la naturaleza humana,” Webroot explica Gary CISO Hayslip. “No importa cuánta tecnología se pone en marcha para bloquearlos, cosas siempre se sale a través,” los expertos en seguridad se suma.
Los temas más populares en los correos electrónicos de phishing
Con el fin de conocer las últimas tendencias en los correos electrónicos de phishing, Webroot recientemente miles escaneadas de dichos correos electrónicos se reunieron del pasado 18 meses. Hayslip presentó los resultados a otra CISO sólo para descubrir que “Casi todo el mundo está viendo la misma cosa,” en sus propias palabras. Los correos electrónicos fraudulentos generalmente tienen una cosa en común y es la sensación de urgencia que crean. La urgencia se construye generalmente sobre temas financieros, comenzando con la línea de asunto.
De hecho, en realidad no es difícil de detectar un correo electrónico de phishing con sólo mirar el tema. Estas son las siete líneas de asunto más comunes en este tipo de mensajes.
- ‘Ayudar urgentemente’, Urgente, Revisión rápida
- Factura, Pago, Declaración
- Banco [nombre del banco], Notificación [asociado con dicho banco]
- Verifica tu cuenta
- Dupdo, copia del documento
- 'Acción requerida: Pagar el saldo de su cuenta de vendedor’
- 'AMAZONAS: Tu pedido no #812-4623 podría LLEGADO’
Como visible, todos ellos están creando la mencionada sentido de urgencia y son todos ejemplos de la llamada a la acción. El receptor se le insta a hacer algo de inmediato, y la acción se asocia típicamente con revelar información de identificación personal como financiero relacionado.
Si va a caer en la trampa revelar su información personal o tarjeta de crédito, sus cuentas reales pueden verse comprometidas, y su identidad puede ser robada y mal utilizado. En caso de que se produzca un correo electrónico tales, no lo abra, o si lo hace abrirlo - no interactuar con cualquiera de los enlaces o archivos adjuntos. Además de ser robado, el sistema se puede inundar con malware.