Casi uno de cada cinco empleados hizo clic en los enlaces de los correos electrónicos relacionados con la empresa. Sin embargo, la mayoría de los correos electrónicos que contenían amenazas o promesas de dinero se identificaron como phishing. Kaspersky descubre que los correos electrónicos de phishing más eficaces imitan los mensajes corporativos y las notificaciones de entrega.
Kaspersky Lab ha utilizado datos del simulador de phishing en un estudio. Este ha revelado que es más probable que los empleados hagan clic en un enlace de phishing dentro de un correo electrónico si la línea de asunto y el remitente parecen estar relacionados con el trabajo o una entrega perdida.
El correo electrónico de phishing más eficaz del estudio tenía el asunto «Intento de entrega fallido: lamentablemente, nuestro servicio de mensajería no pudo entregar su artículo». El 18,5 % de las personas enviaron el correo electrónico haciendo clic en el enlace proporcionado.
Con Kaspersky Security Awareness Platform, los administradores de sistemas pueden imitar los correos electrónicos de phishing y enviarlos sin previo aviso a los empleados. Luego, los resultados se pueden rastrear para indicar el nivel de conciencia de seguridad entre los empleados.
Kaspersky descubre que los correos electrónicos de phishing más eficaces imitan los mensajes corporativos y las notificaciones de entrega
Otras líneas de asunto efectivas incluyeron «Correos electrónicos no entregados debido a servidores de correo sobrecargados». También «Encuesta de empleados en línea: ¿Qué mejoraría de trabajar en la empresa» y «Recordatorio: Nuevo código de vestimenta en toda la empresa«. Todo ello generó que el 17.5- 18% de los destinatarios hacen clic en sus enlaces. Los nombres de remitente más efectivos incluyeron «Servicio de entrega de correo», «El equipo de soporte de Google» y «Departamento de recursos humanos».
El estudio de Kaspersky se realizó entre enero de 2021 y mayo de 2022 e incluyó los resultados de más de 29.000 empleados de 100 países. Con los correos de phishing detrás de aproximadamente el 91% de todos los ataques cibernéticos, no se puede exagerar la importancia de comprender aquellas campañas en las que los empleados caerán más fácilmente.
Por el contrario, los correos electrónicos que contenían amenazas o prometían recompensas por hacer clic en enlaces tenían menos probabilidades de generar clics. Solo obtuvieron hasta el 2% de los clics.
Educar a los empleados sobre los signos reveladores de una campaña de phishing puede ser una medida eficaz contra los ataques cibernéticos. Comunicar la importancia de verificar los enlaces y las direcciones de los remitentes, verificar que los archivos adjuntos no sean archivos ejecutables y señalar cualquier ataque sospechoso de phishing al departamento de TI de su empresa puede mejorar en gran medida la seguridad. A nivel administrativo, los equipos de TI deben permanecer atentos a los nuevos ataques que podrían eludir los filtros de seguridad existentes.
Las simulaciones como las que se pueden lograr a través del programa Kaspersky Security Awareness pueden proporcionar información útil sobre cuán susceptibles son los empleados a los trucos de los actores de amenazas.