Trabajo en el equipo de seguridad informática de mi empresa y el líder de mi equipo me pide que envíe correos de suplantación de identidad a mis colegas. Los correos destinados a atraerlos a hacer clic en los enlaces incrustados (los enlaces llevan a una página web informativa sobre phishing).
Estoy un poco confundido al tratar de atrapar a mis colegas. ¿Es éticamente aceptable atrapar a mis colegas? ¿Es legal (por ejemplo, para las leyes francesas)?
Gracias
Sí, es éticamente aceptable "atraparlos", siempre y cuando no lo hagas por tu propia victoria. Si los envía a una página informativa, está bien.
Si los envía al inicio de sesión de la empresa real, pero incluye como ?phish=true en la URL y luego tiene lógica en el lado del servidor para deshabilitar la cuenta y luego programar al usuario para obtener más información sobre el phishing, entonces también está bien.
Lo que no es ético es si los envías a tu propia página de inicio de sesión, incluso si no guardas ni haces nada con los detalles.
En realidad, hay un negocio que se involucra en esto, llamado "PhishMe". La empresa trabaja de esta manera:
[email protected] . Luego, PhishMe enviará un correo falso de phishing a sus empleados. Si los empleados hacen clic en el enlace, se registrará que no reaccionaron correctamente en el phishing. También tienen formularios y otros para ver si el usuario ingresa datos confidenciales (pero, por supuesto, los descartan de inmediato).
Si no hacen nada, se aceptará como una buena solución.
Si lo reportan a [email protected] , PhishMe filtrará el informe (ya que pueden identificar que el correo de phish en realidad fue un phish educativo falso) y luego registrará que el usuario hizo algo bueno al reportarlo. Todavía reenvían todos los informes para correo de phishing genuino enviado por estafadores a su dirección de informe de fraude real.
Otra cosa que debe tener en cuenta, especialmente si utiliza un servidor de correo externo, es que su falso phish podría terminar en la lista negra de servidores de la empresa para el phishing / spam. Asegúrese de que los servidores estén configurados para ignorar ese tipo de fraude falso, y asegúrese de no usar contratistas externos para ejecutar los servidores de correo. También asegúrese de que los usuarios no reenvíen el correo electrónico a su cuenta de Gmail o similar, simplemente deshabilitando la posibilidad de reenviar el correo en el lado del servidor, y solo permitan IMAP / POP3 desde la red interna / VPN, para evitar la obtención de correos electrónicos como Gmail. Esto evita que los usuarios "informen como spam" a dichos proveedores.
Sobre la legalidad, no sería ilegal, ya que en realidad no es un correo electrónico falso, porque "correo electrónico falso" es un correo electrónico no escrito por la compañía, y el correo escrito por una compañía realmente no es falso. Es lo mismo que no puedes "falsificar tu propia firma", porque entonces no lo estás fingiendo. Y podría demostrarse que no tiene intenciones maliciosas, ya que los está redirigiendo a una página informativa sobre phishing.
Otra cosa importante a tener en cuenta es obtener un permiso claro y por escrito de los gerentes de la compañía y que tenga el permiso completo de la compañía para hacerlo, en caso de que la compañía decida hacerlo para "deshacerse de usted" al informarle. para hacer cosas que luego pueden reportar como delitos a las autoridades locales. En realidad, es lo mismo que alguien que te da un artículo gratis, como "aquí, lo tengo, es gratis", y luego ir a la policía y denunciarte por robo, y no puedes probar que lo obtuviste de forma gratuita. Es por eso que los papeles son importantes.
Sin embargo, al implementar dichos programas, es importante permitir que el usuario use sus propias señales para reaccionar ante el phishing. Por eso es preferible que le diga a su servidor de correo que inserte un encabezado de validación de SPF falso que diga que la validación de SPF falló, para esos mensajes de phishing falsos (y que suprima la validación "aprobada" de SPF real). De lo contrario, los correos de phishing se mostrarán como auténticos.
Y también debe asegurarse de que otros signos del correo lo convierten en un "phishing", por lo que si el usuario usa herramientas para deducir su phishing, es importante que estas herramientas puedan reaccionar correctamente y alertar, como si fuera un phishing real.
El término general para que su propia gente asuma el papel de "malos" con el fin de mejorar la calidad es Red Team , y todas las empresas que toman en serio la seguridad lo hacen. Pero hay algunas reglas a seguir:
Mantenlo profesional
Estos son ataques patrocinados por la compañía; La empresa es el objetivo, no el individuo. No intente recopilar datos personales, contraseñas o secretos.
Mantenga a los abogados informados
Su asesor legal está a su disposición para mantenerlo todo a la altura y evitar que las cosas se salgan de las manos y causen problemas legales. Establecen las reglas, usted sigue esas reglas, todos se mantienen seguros.
Realice análisis post mortem sobre ataques exitosos
El objetivo es hacer que su empresa sea más segura encontrando y solucionando las debilidades. Si el ataque que funcionó la semana pasada vuelve a funcionar la próxima semana, entonces no ha progresado. Es hora de detener lo que estás haciendo y solucionar los problemas. (NB: Sus problemas son sus procesos , no sus personas.)
Avergonzar a sus empleados no ayuda
Señalar al empleado que hizo clic en el correo electrónico de phishing esta semana no evita que los empleados se enganchen al phishing. Incluso el usuario más vigilante puede ser engañado; Es la naturaleza humana. Debe equipar a sus usuarios con suficientes controles técnicos y medidas de seguridad para ayudar a compensar la falibilidad humana.
Haz que sea una experiencia positiva
Reconozca a las personas por hacer lo correcto , no por hacer lo incorrecto . La competencia puede ser útil para mantener un tema presente en la mente de las personas, pero usted quiere que el reconocimiento se centre en el éxito, no en el fracaso.
Haga que todos se involucren
Algunas de las operaciones más exitosas del Equipo Rojo permiten a los usuarios normales rotar periódicamente a través del programa y atacar a sus compañeros de trabajo en un entorno seguro y supervisado. Tener la oportunidad de ser el atacante ayuda a los usuarios a comprender y apreciar mejor las medidas de seguridad con las que tienen que vivir. Además, si todo el mundo está acostumbrado a defenderse e informar de los ataques, es mucho más difícil que un atacante real pase desapercibido.