El objetivo realmente depende de qué compromiso entre eficiencia / productividad y seguridad está dispuesto a realizar.
Detener el phising general (el correo masivo, mal escrito, tipo genérico) no es imposible, y se puede lograr sin demasiado sacrificio, a través de la capacitación adecuada de los empleados. Sin embargo, es muy difícil detener el phising altamente dirigido y de grado profesional, ya que puede parecer provenir de (o ser de) cuentas de correo electrónico legítimas, estar bien escrito y ser muy relevante para la persona que lo recibe. Yo diría que detener este tipo de ataque es casi imposible para cualquier organización que se basa en la interacción con el mundo exterior.
Recientemente hubo algunos ejemplos de estos ataques (contra personas que probablemente tienen capacitación de empleados):
Por supuesto, capacitar a los empleados para que exhiban un comportamiento "apropiado" requiere la organización interna adecuada para apoyarlo. No tiene mucho sentido decirles a los empleados que no hagan algo que realmente se les exigirá (por ejemplo, hacer clic en los enlaces para cambiar sus detalles de usuario, etc.).
En primer lugar, la persona promedio puede ser muy crítica con cualquier correo electrónico recibido.
- ¿El correo electrónico utiliza un inglés bien construido?
- ¿Este correo electrónico es algo que pidió o esperaba?
- ¿Un correo electrónico que pretende ser de PayPal o su banco le pedirá que siga un enlace a wallyswatersking.com/wp-content/acdasdc.php? Tenga en cuenta que los enlaces que parecen ir a ciertos lugares pueden no hacerlo (a menudo se pueden detectar al pasar el mouse sobre el enlace o al examinar el código fuente del correo electrónico).
- Si un correo electrónico tiene un archivo adjunto, ¿es de alguien que usted conoce? Si no es así, probablemente sea una muy mala idea abrirlo.
Las soluciones técnicas para mitigar estos problemas pueden incluir
- AV actualizado (aunque esto probablemente no sea efectivo en ataques dirigidos).
- Sandboxing de aplicaciones.
- Usar un proveedor de correo electrónico que trabaje activamente contra el phishing y el spam (como Google o Microsoft).
Más sobre phishing aquí