Muchas organizaciones gastarán importantes sumas de dinero en capacitación de phishing para empleados. Tomando la forma de capacitación periódica de sensibilización, o incluso phishing simulados para evaluar la conciencia de los empleados, esta es una práctica común en empresas más grandes.

Sin embargo, incluso después de la capacitación, una línea base constante de empleados seguirá haciendo clic en un enlace malicioso de un remitente desconocido. Hoy, veremos una razón potencial por la cual podría ser: las comunicaciones corporativas a menudo se ven como phishing en sí mismas, causando confusión entre los remitentes legítimos e ilegítimos.

Plantillas de comunicaciones corporativas

A continuación se muestra una plantilla de correo electrónico que se encuentra en un blog de Microsoft Technet , utilizada como un ejemplo de cómo un administrador de sistemas puede comunicarse con los usuarios.

https://blogs.technet.microsoft.com/smeems/2017/12/13/protecting-email-ios-android/

Si bien tiene buenas intenciones y proporciona a los usuarios instrucciones bastante buenas, esta plantilla cae en conflicto con el diseño de phishing de varias maneras.

  • La gran «Acción requerida» en rojo con un signo de exclamación crea una falsa sensación de urgencia desproporcionada a la información presentada.
  • No se proporciona ninguna forma de autenticar el mensaje como comunicaciones corporativas legítimas.
  • El correo electrónico presenta toda la información a la vez en la misma página, independientemente de la relevancia para un usuario individual.
  • El enlace de asistencia se encuentra en la parte inferior y sugiere un buzón genérico en lugar de hacer referencia a una persona para contactar.

Entonces, ¿cuál es el daño aquí? ¿Seguramente un usuario puede ignorar algunos diseños exagerados y tomar el mensaje deseado? Un problema es que según Harvard Business Review , el empleado de oficina promedio recibe en promedio 120 correos electrónicos por día. Al operar bajo una sobrecarga de información constante, ese trabajador tomará atajos cognitivos para reducir las interacciones con mensajes que no son relevantes para ellos.

Por lo tanto, capacitar al empleado para que responda reflexivamente a “Acción requerida” puede indicarle que haga lo mismo con correos electrónicos maliciosos . La inclusión de paredes de textos en el cuerpo del correo electrónico refuerza el escaneo en busca de una llamada a la acción (especialmente los enlaces para hacer clic), y la falta de autenticación de mensajes o asistencia humana garantiza que si hay alguna confusión sobre la seguridad, el empleado se equivocará. sin pedir ayuda

Esencialmente, las comunicaciones bien intencionadas con estos defectos de diseño capacitan a un empleado sobrecargado para exhibir malos comportamientos, a pesar de la capacitación contra el phishing, y desalientan la búsqueda de ayuda. No es de extrañar que, según el FBI , las pérdidas por el compromiso del correo electrónico comercial (BEC) hayan aumentado en un 1.300 por ciento desde enero de 2015, y ahora suman más de $ 3 mil millones en todo el mundo.

Con estos antecedentes en mente, ¿qué sucede cuando el empleado recibe un mensaje como este?

notificación de inicio de sesión de paypal

Es de destacar que ambos phishing son más accesibles para un lector de lectura que la notificación corporativa de Microsoft, y las llamadas a la acción son menos dramáticas. El phishing de PayPal en particular tiene un logotipo pasable e imita razonablemente el idioma de una alerta de cuenta real.

Un lector más cercano detectaría incongruencias de inmediato: el primer phishing se detectaría al instante. Para el segundo, el dominio del remitente no pertenece a PayPal. Si copia el enlace y lo pega en un editor de texto, el enlace va a un sitio infectado de WordPress en lugar de PayPal, y los números en recuadro con instrucciones parecen extraños. Pero un empleado que recibe 120 correos electrónicos al día no es un lector cercano. Los phishing son «suficientemente buenos».

Una alternativa mas segura

Entonces, ¿cómo lo hacemos mejor? Veamos un correo electrónico de notificación de AirBnB.

En primer lugar, la notificación es breve. Todo el contenido relevante para el usuario se comunica en una sola oración, se hace grande y en negrita para facilitar la lectura por adelantado. Lo que sigue son detalles para que el usuario final autentique la transacción, enumerados en un orden de probable interés descendente para el usuario.

El siguiente es un camino claro para obtener asistencia, expresado en un lenguaje sugerente de una persona en el otro extremo. La última es una breve explicación de por qué el usuario debe considerar la comunicación legítima, con múltiples casos de uso proporcionados para establecer expectativas.

El mito del usuario estúpido.

La discusión de la industria sobre la suplantación de identidad (phishing) y las tasas de clics se centran principalmente en lo horribles e ignorantes que son los usuarios. Las soluciones ofrecidas generalmente se preocupan por restringir la funcionalidad del correo electrónico, los castigos «efectivos» de vergüenza y culpa por hacer clic en el enlace malicioso y la capacitación repetitiva de phishing que no se alinea con la forma en que los usuarios interactúan con el correo electrónico, ni proporciona herramientas adecuadas para responder a correos electrónicos ambiguos, como la plantilla de notificación anterior.

Todo esto es una pérdida de tiempo y presupuesto.

Si una organización tiene un problema de «usuario estúpido», un comienzo más efectivo para abordarlo sería buscar señales de diseño en el entorno de ese usuario. ¿Cuántos correos electrónicos reciben al día, y de ellos, cuántos parecen funcionalmente idénticos? ¿Cuántos no son realmente relevantes o útiles para su trabajo?

Cuando los defensores de la red envían comunicaciones a la empresa, ¿se ven o se sienten como phishing? Si el usuario recibe un correo electrónico incompleto, ¿quién está disponible para ayudarlo? ¿Saben quién es esa persona, si alguien? Al estructurar las cargas de correo electrónico de los empleados de manera que sigan los pasos a continuación, ambos «mejorarán» a un empleado rápidamente y no costarán nada. Los empleados deben por lo tanto:

  • Tener una carga lo suficientemente ligera como para participar de manera crítica en los mensajes.
  • Obtenga comunicaciones corporativas adaptadas a sus requisitos laborales
  • Tenga una manera fácil de autenticar que los remitentes de confianza son quienes dicen ser
  • Ser capaz de obtener ayuda con cero fricción.

Entonces, antes de que las organizaciones participen en más lamentos y crujir de dientes sobre el «usuario estúpido» y el costo de la capacitación y la prevención, piense por un largo tiempo en cómo se produce la comunicación en su empresa, dónde están los puntos débiles y cómo puede optimizar ese flujo de trabajo.