Cómo evitar el phishing / spear phishing de los empleados

3

Recibimos muchos correos electrónicos de phishing dirigidos a nuestros empleados, semi-sofisticados en los que hablan sobre un proyecto o dan un resumen del resumen. Luego nos comunicamos con ellos y nos envían un 'PDF adjunto', que siempre es un enlace a un sitio de phishing que requiere una contraseña de Google o Dropbox.

Somos bastante buenos para detectarlos a una milla de distancia, principalmente porque el sitio falso de Google o Dropbox es una mierda que usa imágenes / gráficos pixelados, ortografía impar, etc. (¿Por qué no solo van a Dropbox.com y copian el La fuente HTML está fuera de mi alcance, pero esa es su pérdida.) Mi temor es que recibamos más y más de estos correos electrónicos y, finalmente, uno de ellos probablemente nos pase. También recibimos muchos correos electrónicos de phishing (donde el spammer falsifica nuestro dominio en el campo enviado), pero afortunadamente usamos Google Apps para el correo electrónico comercial, que parece tener un historial del 100% de filtrado de estos directamente al spam.

Para combatirlo, tengo lo siguiente:

  • contraseñas únicas para todos los sitios, usando 1password
  • autenticación de 2 factores para los sitios que lo permiten
  • Extensión web antivirus de Avast que bloquea algunos sitios de phishing / malware (pero no siempre tiene todos los sitios en la lista; probablemente solo el 25% de los sitios que he encontrado se recuperan)

Cosas que estoy pensando en implementar:

  • OpenDNS en el enrutador de la oficina (para crear otra capa de filtración similar a la de Avast anterior, ya que creo que OpenDNS tiene una lista negra automática de phishing / malware. El único inconveniente de OpenDNS es que solo cubrirá a los empleados en el sitio a menos que se haya instalado manualmente como principal DNS en cada dispositivo.)

¿Hay algo más que deba considerar implementar para evitar estos ataques?

    
pregunta sam 12.12.2016 - 14:53
fuente

4 respuestas

4

Las grandes empresas envían correos electrónicos de suplantación de identidad a sus empleados de forma semiautomática. Si un empleado está atrapado, se le informa como "¿qué hiciste? Vs. qué deberías haber hecho".

El problema es que la debilidad de los objetivos de phishing no es una debilidad técnica, es una debilidad no técnica humana. Por lo tanto, en mi opinión, solo tendrá un éxito limitado si trata de solucionar esto con una solución puramente técnica. Intentaré invertir tanto como sea posible en la capacitación sobre concienciación y asegurarme de que los empleados se mantengan informados a través de la capacitación, la capacitación y la capacitación.

La capacitación puede estar respaldada por un par de reglas simples y muy concretas como:

  • si alguien te llama y te pide algo que parece sospechoso, intenta identificar a la persona que llama a través del directorio telefónico de la empresa y llámalo de vuelta
  • nunca entregue información confidencial (como contraseñas) por teléfono, correo electrónico
  • si el soporte de red / teléfono lo llama sorprendentemente diciendo que necesitan que su soporte se ponga en contacto con el número de teléfono XYZ para confirmar que es REALMENTE soporte de red / teléfono (en este caso, debe configurar algún servicio en el número XYZ). todas las actividades de mantenimiento en su empresa)
  • TBC

Asegúrese de que todos los empleados lean y entiendan esto y haga que firmen lo que hicieron.

Mi conclusión: las inversiones en la configuración organizativa para evitar que esto suceda son probablemente al menos tan importantes como las contramedidas técnicas.

    
respondido por el kaidentity 18.01.2017 - 17:01
fuente
1

El middleware de seguridad realmente puede ayudar aquí si tiene el presupuesto para ello.

Herramientas como el sistema Unified Threat Management de Sophos o Threat Management Gateway de Microsoft (aunque creo que ya está bastante muerto) proporcionan protección monitoreada continuamente contra amenazas conocidas y emergentes & Realmente puede ayudar cuando un usuario tiene una falla cerebral (como todos lo hacemos de vez en cuando).

Un servicio de filtrado de correo de terceros también puede ayudar. Utilizo Mailroute en mi correo electrónico personal / familiar porque obtuve un buen trato hace algunos años.

Mucho realmente depende de los riesgos para su organización. Vale la pena documentar los riesgos y su impacto correspondiente (si el riesgo se hubiera realizado) tanto en daños a la reputación como en el costo directo. De esa manera, puede crear un caso de negocios para gastar una cantidad adecuada de dinero.

    
respondido por el Julian Knight 12.12.2016 - 16:56
fuente
0

A nivel de MTA, implemente SPF, firmas DKIM y DMARC. Las campañas de phishing para educar a sus usuarios se pueden implementar a través de herramientas como phishme.com (comercial) o SET (TrustedSec) de TrustedSec.

    
respondido por el pescator 18.01.2017 - 15:42
fuente
-1

Ha echado un vistazo a los filtros web basados en DNS, que podrían ser una mejor solución para sus necesidades. He utilizado WebTitan y estoy muy contento con él. Ellos hacen un buen filtro de spam también.

Es bueno que solo obtengas los correos electrónicos de phishing fáciles de identificar, pero he visto algunos phishes que son casi imposibles de detectar. Alta calidad, pocos errores de ortografía, buenas imágenes, etc. Reconocerlos puede ser complicado. Según el nivel de riesgo al que se enfrente, podría valer la pena realizar ejercicios de simulación de phishing. Hay algunos vendedores por ahí. PhishMe es muy bueno y tiene excelentes herramientas y material de capacitación. Es un servicio de pago, pero ofrecen un gran simulador de phishing para pequeñas empresas que es gratis.

    
respondido por el NetSecSteve 07.11.2017 - 18:20
fuente

Lea otras preguntas en las etiquetas