El Libro Blanco de Osterman Research "Las mejores prácticas para implementar una capacitación en concientización sobre seguridad" revela una amplia gama de problemas que conciernen a los profesionales de seguridad. Una de las cuales señala que, más del 90% de las organizaciones informaron que los intentos de phishing y spear phishing que llegan a los usuarios finales durante el 2018 aumentaron o se mantuvieron en los mismos niveles.
Si bien los ataques de phishing y spear phishing son similares, hay muchas diferencias claves a tener en cuenta.
PHISHING
Una campaña de phishing es muy amplia y automatizada, piensa en "spray and pray".
No se necesita mucha habilidad para ejecutar una campaña masiva de phishing. La mayoría de los intentos de phishing persiguen información como datos de tarjetas de crédito, nombres de usuario y contraseñas, etc. y generalmente son un único ataque.
SPEAR PHISHING
Por otro lado, la suplantación de identidad (Spear Phishing) está muy dirigida, persiguiendo a un empleado, compañía o individuos específicos dentro de esa compañía.
Este enfoque requiere técnicas avanzadas de piratería y una gran cantidad de investigación sobre sus objetivos. Los spear phishers buscan datos más valiosos como información confidencial, secretos comerciales y cosas de esa naturaleza. Es por eso que se requiere un enfoque más específico; descubren quién tiene la información que buscan y persiguen a esa persona en particular. Un correo electrónico de phishing es realmente solo el comienzo del ataque, ya que los actores “ciberdelincuentes” intentan acceder a la red y sistemas para cometer un Data Breach.
Nuestra visión disruptiva, es llevar al usuario que es el eslabón más débil y más importante de una organización a un nivel de Human Firewall a través de un programa anual de Security Awareness Program, que mide el nivel de madurez de cada usuario y a su vez de toda la organización llevándola desde un 50% de probabilidad real que sea víctima de un fraude, suplantación de identidad o data breach a menos de un 3% totalmente medible, dicho programa incluye:
Charlas de Concientización sobre Cyber Security,
e-Learning a través de Newsletter, Videos Educativos y Videos de Entrenamiento Interactivos en materia de Cyber Security, con entrega de certificado para los usuarios que han pasado satisfactoriamente el curso e-Learning,
Simulador de Ataques Ethical Phishing, Vishing, USB Attack, Social Engineering y mucho más.
Fuente: Netutils, Inntesec
Comments