Llegamos a ustedes gracias a:



Noticias

Estudio: Las URL maliciosas se descontrolan

[07/03/2019] Las URLs maliciosas son ahora un problema rampante de acuerdo con un estudio que encontró que están contenidas en un promedio de uno de cada 61 correos electrónicos.

El último estudio de Mimecast Email Security Risk Assessment descubrió que el número de URL maliciosas en los correos electrónicos había aumentado en más de un 125% en comparación con los resultados del último trimestre. Casi la mitad (45%) de los 1025 encuestados del estudio dijeron que el volumen de estos ataques basados en URL o con archivos adjuntos peligrosos ha aumentado durante el último año.

El último informe también encontró casi 25 millones de correos electrónicos de spam, 26.713 archivos adjuntos de malware, 53.753 ataques de suplantación de identidad y 23.872 tipos de archivos peligrosos de los casi 232 millones de correos electrónicos inspeccionados, todos ellos perdidos por los proveedores de soluciones de seguridad existentes y entregados a las bandejas de entrada. Esto puso en riesgo a individuos y organizaciones, anotó Mimecast.

"El correo electrónico y la web son complementos naturales cuando se trata de infiltrarse en una organización", señaló Matthew Gardiner, estratega de ciberseguridad de Mimecast.

"El correo electrónico ofrece contenido creíble y URLs en las que se puede hacer clic fácilmente, lo que puede llevar a las víctimas no deseadas a sitios web maliciosos. Las URLs dentro de los correos electrónicos son literalmente un punto de intersección entre el correo electrónico y la web. Las organizaciones necesitan la visibilidad a través de ambos canales para tener la protección necesaria para mantenerse al tanto de las amenazas actuales en constante evolución y tener un único proveedor en una solución integrada puede ayudar.

"Los ciberdelincuentes buscan constantemente nuevas formas de evadir la detección, a menudo recurriendo a métodos más fáciles como la ingeniería social para obtener información sobre una persona o sacando imágenes de Internet para ayudar a legitimar sus intentos de suplantación de identidad para obtener credenciales o información de usuarios desprevenidos".

Mimecast dijo que el fraude de suplantación de identidad también sigue creciendo, ya que el 41% de los encuestados en el estudio informaron que han visto un aumento en este tipo de fraude por parte de proveedores o socios comerciales que solicitan dinero, información confidencial o credenciales. Otro 38% dijo que ha visto un aumento en el fraude de suplantación de identidad de marcas conocidas de Internet.

Mientras tanto, la falta de formación eficaz en materia de seguridad cibernética, especialmente cuando se trata de que el personal abra inadvertidamente correos electrónicos de phishing, sigue siendo un problema.

El principal consultor técnico de Mimecast, Garrett O'Hara, señaló recientemente que la capacitación basada en el cumplimiento simplemente no funciona. El año pasado, Mimecast adquirió Ataata, una plataforma de formación en concienciación de seguridad y gestión de riesgos cibernéticos, desarrollada por el ejército, las fuerzas del orden y la comunidad de inteligencia de EE.UU., que ayuda a las empresas a combatir las infracciones causadas por errores de los empleados. La empresa afirma que el 95% de las infracciones se deben a errores humanos.

Estos tipos [Ataata] han ido tras la generación de Netflix y han creado casi como una comedia de situación: videos de tres o cuatro minutos de duración, impactantes y divertidos, que transmiten un mensaje sencillo.... y los mapean con los perfiles de riesgo [de la organización] antes de compararlos con los de la industria y el mercado vertical de la empresa", anotó.

Cuando se pone realmente interesante es que se puede atornillar en la puerta de enlace y luego se pueden hacer cosas como 'defang' ataques reales, y utilizarlos como formas de medir el comportamiento de los usuarios finales en lugar de simplemente ejecutar una campaña, lo que es un enfoque aceptable".

"Esto se trata más bien de, '¿qué está pasando realmente?' No se trata de un correo electrónico falso que llega a una organización, sino que se pregunta: `Durante el día a día de la empresa, ¿qué hacen realmente nuestros usuarios finales cuando se producen ataques de ingeniería social? Creo que es una perspectiva interesante y no he visto realmente ese enfoque. Es otro punto de datos fuera de las campañas de phishing estándar", finalizó O'Hara.