2 preguntas:
- ¿Cuáles son los argumentos contra que advierten a los usuarios finales que redactan correos electrónicos vinculados a dominios externos que no figuran en la lista blanca?
- ¿Hay herramientas disponibles, que incluyen el manejo de los diálogos necesarios con los usuarios, que intercepta correos electrónicos como se describe a continuación?
En la función de empleado corporativo, recientemente recibí un correo electrónico solicitándome que completara una encuesta en línea. Se utilizó una herramienta externa, de modo que tanto la dirección de correo electrónico del remitente como el enlace a la encuesta se encontraban en un dominio externo. No había un enlace a un sitio interno autorizado donde este sitio externo estaba en la lista blanca.
Supongo que acepta que esto no está bien (1) . Lógicamente, se seguiría que uno capacitaría a los usuarios para que no redactaran tales correos electrónicos, ya que eso disminuiría la vigilancia de los colegas. Pero cuando menciono este problema con mis gerentes, responden que "está bien hacer clic en este enlace", no se toman más medidas.
Una solución aquí sería introducir, a nivel corporativo, un filtro de tipos que:
- Supervise el correo electrónico entrante que contiene enlaces externos que pertenecen a dominios que no figuran en la lista blanca.
- Inferir (de nombre o de otra manera) si el remitente parece identificarse como interno.
- Detenga o agregue el correo electrónico (elimine los enlaces, ofrezca una advertencia que incluya 1) las mejores prácticas y 2) haga una lista de los enlaces eliminados de una manera que requiera trabajo manual para ejecutarlos, por ejemplo. insertando corchetes alrededor del TLD o similar).
- Considere también agregar correos electrónicos que incluyan enlaces a sitios incluidos en la lista blanca, brindando confianza y creando conciencia.
- Avise al supuesto remitente sobre lo que ha ocurrido y nuevamente proporcione consejos sobre las mejores prácticas.
Supongo que esto aumentaría la vigilancia y dificultaría la realización de ataques reales, pero no he visto tal salvaguarda implementada para los clientes en los que he trabajado recientemente, todos los cuales tienen experiencia con ataques reales de phishing con lanza.
De nuevo, las preguntas son:
- ¿Cuáles son los argumentos para no implementar dicho filtro?
- ¿Algún proveedor (por ejemplo, Fireeye ) proporciona dicho filtrado (2 ) OOTB, preferiblemente compatible con un ADFS & ¿Infraestructura basada en el intercambio?
(1) Justificación: el correo electrónico no se puede distinguir del phishing de lanza; evidencia anecdótica sugiere que incluso los profesionales de TI sucumben fácilmente a esta forma de ataque; spear phishing "[cuentas] para el 91% de los ataques" [ W ]; las corporaciones maduras capacitan a sus usuarios para que no hagan clic en los enlaces a dominios externos que no estén autorizados de forma interna en la lista interna.
(2) La funcionalidad debe incluir 1) llegar a usuarios internos supuestos que, con buenas intenciones, han utilizado herramientas externas para crear correos electrónicos masivos, como en el caso de uso descrito anteriormente, y 2) administrar una lista blanca autoritativa que puede ser visible para los usuarios finales. Nota: La pregunta se ha reformulado en "¿Por qué no avisamos a los usuarios finales que redactan correos electrónicos que enlazan a dominios externos?".