Según ha explicado en comisión el concejal Francisco Herrera, se ha hecho un experimento de phishing con el personal municipal para ver, sin previo aviso, cómo actuaban. El experimento consistió en enviar 2.200 correos electrónicos a trabajadores y funcionarios de los que 600 entraron en el correo y, lo peor, dieron sus claves. Según Herrera, "si hubiera sido real hubiéramos tenido 600 cuentas secuestradas".
|
etiquetas: trabajadores públicos , simulacro de estafa , phishing
En mi empresa hacen este tipo de ejercicios cada cierto tiempo. Y cada vez se lo curran más, todo sea dicho. El caso es que nos dan un cursillo de 30 min, a cerca de estos temas. Obligatorio para todo el mundo.
Parece mentira que lo tenga que decir, pero la forma más fácil de conseguir accesos no autorizados es troleando a sus trabajadores.
Sentido común, el menos común de los sentidos.
Todo el mundo tenemos contraseña personales delicadas, cómo las del banco.
Deberíamos saber estás cosas para que no nos roben información personal, no sólo para que no roben a la empresa donde trabajamos.
Aparte de que hay una fuga de datos gorda, conocida desde hace años, que estan entregando los datos de los historiales a otras empresas. (Esto lo sé porque me llamaron de trading preguntando por mi nene, que tenia 1 mes cuando me llamaron, y solo esta mi teléfono con el nombre del nene en la consejeria, hospital de referencia y servicio de salud. Lo puse en conocimiento del servicio de informatica y de los de seguridad, y me soltaron la bocachanclada de: "No se te habrá metido el niño en alguna página y habra dado tus datos").
Eso sí, cada 2 por 3 damos acceso a los empleados de mantenimiento, de una subcontrata, a las carpetas de RRHH o contratos, con permiso del jefe de servicio de informática,
Joder si vienen enseñados los niños ahora
Creo que ya es tarde para eso y que el movimiento está herido de muerte por llevarse de extremismos.
Además estais presuponiendo que son los encargados de la informática y lo mas seguro que la mayoría sean los encargados del jardin.
Pero aun suponiendo que son gente formada, un abogado, un licenciado en Politicas o en Administración de empresas, lo único que le importa es dar al botón X y que le salga lo que quiere, o mirar la excel.
De hecho, en un caso que leí yo de phishing/ingeniera social, el primer contacto falló y el receptor se dio cuenta de que allí olía algo a chamusquina. El hacker se dio cuenta de que el receptor algo se olía, espero un rato y se volvió a poner en contacto con el receptor, le dijo que era de seguridad y que habían detectado intentos de acceso con su cuenta, etc. Total, que como al receptor toda la milonga le cuadraba ya que había visto cosas raras, tras hacerle un rato el lío (incluyendo consejos de ciberseguridad) , el hacker lo mandó un sitio a cambiar su contraseña, por eso de la seguridad y el intento de ataque. Y la lio
EDIT: Lo mas crack que he visto es una empresa que tenía el cursito de ciberseguridad subcontratado en la web de otros y los propios de la empresa te mandaban a la web por un correo, donde entrabas con tu usuario y contraseña en la web. Pa mear y no echar gota.
Total, pensé "madre mía, nos la están colando" pero como eran muy cutres para algunas cosas, y si el mensaje era cierto era algo importante... por si acaso miré en el RIPE esa IP y vi que pertenecía a mi empresa... y dije "madre mía, la gente se va a pensar que es phising"... y tachán! Me gané una charla de ciberseguridad
Eso contando con que se use un navegador soportado internamente en la empresa/organismo, la mayoría dan vía libre al uso del navegador que el trabajador crea oportuno.
Así va.
1. Aprobado si reportabas el intento
2. Necesitas mejorar si no hacías nada
3. Suspenso si entrabas en la web
4. Llamadita de IT si entrabas en la web e intentabas instalar el programa cebo
como fuera del tipo nadiuska busca hombre soltero o gana un iPhone por ser el usuario 1 millón...
Si estás en una intranet en la que NO tienes acceso a internet (hay funcionarios en esa situación), o en una intranet que tiene bloqueado el acceso a esas páginas en las que se puede comprobar si un enlace es legítimo (es la situación de muuuuchos funcionarios).
¿Y cómo puedes exigir a una persona que "no haga clic" si la tienes trabajando en una intranet con certificados caducados (una intranet en la que se autentica diariamente con sus credenciales)?
¿Y cómo se puede pedir a una persona que mantenga segura su contraseña si tiene que acceder cada día en su puesto de trabajo a 4-5 aplicaciones en las que la contraseña tiene diferentes parámetros? Y que obligan a cambiar mensualmente. Y que no puedes repetir las cuatro últimas. Y que detecta patrones de tus contraseñas anteriores.
Si los usuarios nunca hubieran recibido una llamada (legítima) preguntando sus claves u otro tipo de información habrían aprendido a no darla.
Si yo estoy en mi puesto de trabajo y recibo una petición de "10.150.23.56 desea control sobre su equipo" ¿cómo cojones voy a saber si es mi personal de informática o un hacker?
El problema no es que yo acepte esa solicitud, sino en que se ha enseñado al usuario a aceptar una solicitud que no estaba correctamente identificada (porque al departamento de informática le da menos trabajo poner la IP que una identificación "humana")
Y es que cada uno debe asumir sus responsabilidades. Y, en mi opinión, es el departamento de informática el que tiene la primera y mayor responsabilidad.
Además a veces las empresas hacen un primer simulacro, miran cuantos han caído, hacen el curso, y vuelven a probar para ver si ha servido de algo.
En un curso que tuve que dar yo por baja de mi compañero, ponía como ejemplo que te robaran la cuenta de Facebook, pueden hacerte chantaje i subir fotos manipuladas tuyas de pederasta y te joden bien