Siga ZDNET: Agréguenos como fuente preferida en Google.
Conclusiones clave de ZDNET
- Las herramientas de inteligencia synthetic ahora ayudan a las bandas de phishing a crear sitios internet falsos muy realistas.
- 1Password advierte a los usuarios cuando pegan contraseñas en sitios falsos.
- Combinar esta herramienta con la autenticación multifactor aumenta la protección.
Las empresas pueden tener dificultades para obtener muchos beneficios de la inteligencia synthetic, pero las bandas criminales han descubierto cómo transformar la IA en oro en línea. Gracias a las herramientas disponibles, es más fácil que nunca crear un sitio internet falso de aspecto realista con un diseño gráfico sofisticado y utilizarlo en una campaña de phishing de gran volumen.
Esa es la conclusión de algunas investigaciones recientes realizado por los desarrolladores de 1Password, quienes encuestó a 2.000 adultos estadounidenses para descubrir qué tan frecuentes son los ataques de phishing. Los resultados son aleccionadores: el 89% de los estadounidenses se ha encontrado con una estafa de phishing y el 61% ha entregado sus credenciales a un ataque de phishing al menos una vez.
También: Los mejores servicios VPN (y cómo elegir el adecuado para ti)
Para hacer frente a la amenaza, 1Password ha añadido una nueva función a su well-liked aplicación y servicio de gestión de contraseñas. La función de protección contra phishing inserta un management de cordura essential en el proceso de inicio de sesión, y ese management adicional podría ser suficiente para evitar que un usuario distraído caiga accidentalmente en un sitio internet fraudulento ingeniosamente construido.
¿Cuál es la amenaza?
Las bandas criminales detrás de la mayoría de los ataques de phishing funcionan según un guide predecible: crean un cebo tentador que convence al destinatario de hacer clic en un enlace que conduce a su sitio internet. Según la encuesta de 1Password, los vectores más comunes de ataques de phishing son los correos electrónicos personales, los mensajes de texto y las redes sociales. El cebo suele ser algo que crea una sensación de urgencia, como conseguir una oferta especial o realizar el seguimiento de una entrega o paquete.
Además: ¿Qué es una clave de acceso? La explicación fácil: para cualquiera que haya terminado con las contraseñas
Cuando las bandas de phishing se dirigen a individuos, según la encuesta, el objetivo last suele ser una ganancia financiera a corto plazo. Pero los ataques de phishing a empresas pueden ser mucho más destructivos. 1Password informa que el 36% de los trabajadores encuestados admitieron haber hecho clic en un enlace sospechoso en un correo electrónico del trabajo. De ellos, el 26% respondía a mensajes que pensaban que provenían de RR.HH. o de su jefe, con resultados potencialmente devastadores.
Como informa 1Password:
Los ataques de phishing a empresas suelen ser mucho más sofisticados y pueden ser la primera etapa de un plan más elaborado. De hecho, los ataques de phishing son el principal vector de ataques de ransomware. En este escenario, el objetivo de un atacante es obtener acceso profundo a los sistemas de una empresa para robar o cifrar datos. Y su mayor activo es la contraseña de un empleado que les dará el acceso que desean.
Eso es lo que ocurrió el verano pasado, en un ataque documentado por StripeOLTun proveedor de ciberseguridad con sede en el Reino Unido. Esa campaña utilizó correos electrónicos personalizados que se hacían pasar por comunicaciones internas de recursos humanos, lo que llevaba a los destinatarios a un sitio falso de OneDrive para ingresar sus credenciales corporativas.
Además: Cómo configuro fácilmente claves de acceso a través de mi administrador de contraseñas y por qué usted también debería hacerlo
Todos los administradores de contraseñas modernos ofrecen protección básica contra phishing por diseño. Si visita un sitio internet falso, el administrador de contraseñas no le ofrecerá completar sus credenciales porque el dominio no coincide con el asociado con el nombre de usuario y la contraseña guardados.
Pero eso no es suficiente protección. Si el usuario no entiende por qué el autocompletar no funciona y el sitio internet falso es lo suficientemente convincente, es possible que abra la aplicación de administración de contraseñas y copie y pegue manualmente su nombre de usuario y contraseña en el sitio fraudulento, momento en el cual se acabó el juego.
Cómo funciona la protección contra phishing de 1Password
La nueva función de protección contra phishing agrega un paso de confirmación adicional essential. Cuando un usuario intenta copiar y pegar sus credenciales en un sitio internet en lugar de utilizar la función de autocompletar, la extensión del navegador 1Password muestra una advertencia emergente, como la que se muestra aquí:
Esta advertencia aparece cuando la extensión 1Password detecta que se está pegando una contraseña en un sitio no autorizado.
1contraseña
Ese mensaje debe ser lo suficientemente específico como para hacer que el usuario haga una pausa y verifique los detalles, como el nombre de dominio, antes de continuar. En entornos corporativos, el private de TI puede capacitar a los usuarios para que se detengan cuando vean esa advertencia, que se asemeja a los carteles que algunas empresas colocan en la parte superior de los correos electrónicos externos.
Además: Microsoft publica un parche de emergencia para los últimos errores de Home windows: consíguelo lo antes posible
Para usuarios de planes individuales y familiares, esta función estará habilitada de forma predeterminada. Los administradores de 1Password pueden habilitar esta capacidad para los empleados en Políticas de autenticación en la consola de administración de 1Password.
Es posible, por supuesto, que algunos usuarios sucumban a la “fatiga del diálogo” y hagan clic justo después de la advertencia. Sin embargo, esta ventana emergente es lo suficientemente específica y, con suerte, también lo suficientemente rara como para cumplir el propósito previsto, evitando que algunos ataques tengan éxito.
Otras medidas antiphishing que vale la pena tomar
Confiar en que los usuarios finales juzguen por sí mismos si un sitio es legítimo o no no es realista, especialmente cuando las herramientas de inteligencia synthetic son capaces de crear sitios falsificados casi perfectos con nombres de dominio que se parecen a los reales. Hoy en día, incluso los usuarios más sofisticados pueden ser engañados, especialmente si están distraídos o tienen prisa.
El paso más importante para evitar que los ataques de phishing causen daños es habilitar la autenticación multifactor para cada sitio de alto valor. Con MFA activado, un atacante no podrá utilizar esas credenciales robadas sin trabajo adicional.
Además: Cómo un easy enlace permitió a los piratas informáticos eludir las barreras de seguridad de Copilot y qué hizo Microsoft al respecto
Además, es elementary garantizar que los usuarios tengan contraseñas únicas para cada sitio. Si una banda de phishing puede obtener un conjunto de credenciales para un sitio y usar esas credenciales en otros sitios, es una receta para el desastre.
Finalmente, ya sea que administre una familia o una empresa Fortune 500, es esencial crear un entorno donde los usuarios puedan denunciar un posible intento de phishing sin temor a ser regañados o castigados. Cuanto más rápido pueda responder a un incidente, más probabilidades tendrá de contener los daños.
