Siempre hay algunas consecuencias después de un gran brecha de seguridad .
El de esta semana es uno de los más acontecimientos preocupantes del año en seguridad en Internet. Un grupo llamado Impact Team robó datos de 37 millones de cuentas de usuarios, desde información de tarjetas de crédito hasta preferencias sexuales. Y tienen ahora lanzó los datos . Está en los principales titulares y solo empeorará.
Para las pequeñas empresas, la principal repercusión será una nueva ronda de estafas de phishing que podrían afectar su negocio. De hecho, supongo que los empleados que trabajan para usted ya han recibido un correo electrónico relacionado con la violación de Ashley Madison.
Así es como funciona todo. Dado que dependemos en gran medida de Email , tendemos a procesarlo rápidamente y buscar primero los mensajes más notables. Cuando los empleados revisen su lista y vean un mensaje que dice: Conocemos su historial sexual, haga clic aquí para evitar hacerlo público, ¿qué cree que harán? La mayoría hará clic. Probablemente ya sepan sobre el truco. Probablemente no tengan una cuenta en el sitio AshleyMadison.com, pero sigue siendo un gran tema.
La estafas de phishing por lo general, no implica el robo de datos. De hecho, tienden a desencadenar una cadena de eventos. El enlace podría ser solo una forma de recopilar correos electrónicos. Un segundo mensaje puede ser más directo y específico. Quizás el primer mensaje al menos determine el nombre de su empresa. El segundo usa el nombre de la empresa en el encabezado del correo electrónico. O el segundo correo electrónico solicita el pago. Es probable que la estafa no tenga nada que ver con Ashley Madison o la filtración de datos.
La estratagema se llama Secuestro de datos y es esencialmente un truco para que la gente haga clic. Sin embargo, la estafa puede ser mucho más complicada. El enlace también puede infectar la computadora y cifrar datos. Sin embargo, casi siempre comienza con un clic en un enlace enviado por correo electrónico o en uno que un empleado encuentra en línea.
Hablé con expertos de la empresa de seguridad. KnowBe4 y varias otras firmas sobre este tema varias veces, y lo que sigo escuchando es que la mejor defensa tiene que ver con la capacitación de los empleados. Un lector me dijo recientemente que está a cargo de la seguridad en una pequeña empresa y tiene la intención de ejecutar un experimento de estafa de phishing en el que crea una cuenta falsa, envía la estafa y luego rastrea qué empleados realmente hacen clic en el enlace. Es bastante ingenioso, porque es una forma de averiguar si realmente existe un problema. Puede volver con esos empleados y volver a capacitarlos (o regañarlos).
cuantos años tiene danny el conde
Mi consejo es celebrar una reunión rápida e improvisada con los empleados y explicarles que hay un nuevo truco importante, que está creando un efecto dominó. Advierta a los empleados sobre hacer clic en enlaces y abrir correos electrónicos que parezcan sospechosos (o use las tácticas mencionadas anteriormente). Estoy aquí para ayudar, así que si necesita más ideas sobre cómo hacer esta reunión o qué decir, simplemente enviarme un ping por correo electrónico .
