Phishing Deep Dive: Cómo lograr que los empleados caigan en intentos de phishing
El phishing no se trata de engañar a los empleados para que caigan en su última simulación de phishing. Más bien, los intentos de phishing deben verse como una oportunidad para educar y preparar a sus empleados para detectar y denunciar sospechas de phishing reales. En este blog, veremos cuándo los empleados son más susceptibles a caer en ataques de phishing y las 5 R del phishing para garantizar que su programa de concientización sobre seguridad de phishing prepare a los empleados para ser su mejor primera línea de defensa contra el riesgo cibernético.
¿Cuándo son los empleados más susceptibles a los ataques de phishing?
Cuando un empleado recibe un correo electrónico de phishing, no cae en el phishing porque no sepa cómo identificarlo, cae en simulaciones de phishing debido a las circunstancias que rodean la recepción de ese correo electrónico.
Los empleados son más susceptibles a caer en simulaciones de phishing por la mañana, fuera del horario laboral y cuando se están poniendo al corriente. Analicemos cómo cada cosa afecta la capacidad de un empleado para reconocer un phishing.
Mañanas
Antes de la primera taza de café o de comenzar su rutina matutina, los empleados suelen estar menos alertas y más propensos a hacer clic en un intento de phishing. Aconseje a los empleados que traten de evitar revisar su correo electrónico hasta después de haber tomado su primera taza de café o media hora después de comenzar la jornada laboral.
Fuera del horario laboral
Quedarse hasta tarde para terminar un proyecto puede ser necesario a veces, sin embargo, agrega estrés adicional y puede limitar la capacidad de un empleado para pensar con claridad cuando es víctima de phishing. Aconseje a los empleados que traten de evitar revisar los correos electrónicos después del horario de atención a menos que sea absolutamente necesario.
Ponerse al corriente
Ponerse al corriente después de unas merecidas vacaciones o tratar de terminar todo antes de unas vacaciones puede llevar a cometer errores, como hacer clic en un phishing evidente. Los cambios en el estilo de vida, como cambiar de carrera u obtener un ascenso, también pueden ser grandes factores estresantes que pueden dejar a los empleados menos alertas ante las tácticas de phishing. Tomarse un momento o dos entre tareas puede ayudar a reducir la ansiedad y mantener a los empleados alerta.
Las 5 R del phishing
Realista
Las personas han desarrollado una percepción de cuál es la apariencia del phishing. Si bien las estafas de phishing tradicionales todavía existen, y lo más probable es que los empleados las reciban, enfrente a los empleados con correos electrónicos que se parezcan al phishing real y difícil de identificar. Incorpore una clara llamada a la acción y una marca que se parezca mucho a las marcas reales.
Relevante
Enviar a un empleado del departamento de marketing un phishing de nómina no imitará el phishing legítimo que pueda recibir. Cree un phishing que sea relevante para el empleado y su puesto.
Regular
Según nuestra investigación, recomendamos presentar intentos de phishing a los empleados mensualmente para evitar frustraciones y realizar un mejor seguimiento de los resultados.
Aleatorios
Enviar el mismo correo electrónico a todo el personal no es efectivo ya que no todos recibirán el mismo correo electrónico de los ciberdelincuentes. Para simular mejor una experiencia de phishing real, ¡envíe intentos de phishing a los empleados en diferentes días y en diferentes momentos con diferentes phishing específicos para su puesto!
Remediación
Es importante dar a los empleados la oportunidad de redimirse después de caer en un intento de phishing. Al asignarles una capacitación correctiva, como un curso específico para el phishing del que fueron víctimas y recompensarlos por completar esa capacitación, los empleados se sentirán empoderados y listos para defender a la organización.