Los ataques de correo electrónico, no el otro problema de correo electrónico, que afectan la elección presidencial de este año deberían ser una advertencia severa para cualquier propietario de una pequeña empresa.
Los ataques cibernéticos están en aumento y usted no tiene que ser el presidente de campaña de un candidato presidencial para ser un objetivo. De hecho, si eres propietario de una pequeña empresa, es más probable que te apunten.
Así es como sucedió: un correo electrónico de phishing fue enviado al presidente de campaña de Hillary Clinton, John Podesta. Un asistente leyó el correo electrónico, estaba preocupado y se contactó con un experto contratado. Las líneas se cruzaron, se hizo clic en un enlace malo y el resto se está desarrollando en la historia.
$config[code] not foundEsto podría sucederle a usted y, si bien las ramificaciones pueden no tener el mismo impacto global que Podesta, a alguien le resultará difícil explicárselo a usted cuando lo tenga.
Así que aquí hay 10 lecciones clave que deben aprender los propietarios de pequeñas empresas del hackeo de correo electrónico John Podesta.
Para llevar desde el correo electrónico de John Podesta Hack
1. Implementar una cadena de mando
Habrá ocasiones en que se intenten violaciones de seguridad. Puede que ya haya sucedido en su pequeña empresa. Si no lo ha hecho, lo hará.
A pesar de que Wikileaks está descargando miles de correos electrónicos desde la cuenta de Gmail de Podesta, decenas de miles de pequeñas empresas son blanco de piratas informáticos. Y a menos que sea un experto en seguridad cibernética, tendrá que tener un plan para lidiar con estas amenazas.
Esquema de una cadena de mando para hacer frente a las amenazas de seguridad cibernética. Deje que todos los asociados con su empresa sepan cuál es la cadena de mando cuando se enfrentan a una posible amenaza de seguridad. ¿Quién contacta con quién y qué hace cada persona?
2. Lea y responda a sus propios correos electrónicos
El truco comenzó cuando un asistente de la presidenta de la campaña de Clinton, Podesta, leyó este mensaje en la cuenta de Gmail de su jefe (Imagen a través de The Smoking Gun):
El mensaje fue enviado a correo electrónico protegido
Por lo tanto, lo importante aquí, el punto en el que todo comienza a descomponerse, es que si se trata de un correo electrónico con su nombre, debe ser el encargado de abrir, leer y responder mensajes.
3. Los errores tipográficos y los errores son el sello de un hack
Si hay una cosa que generalmente separa a los hackers de la legitimidad, es la adherencia a la gramática y la puntuación.
El encabezado del mensaje en el corazón del ataque de Podesta dice "Alguien tiene su contraseña", pero al igual que esa línea, el correo electrónico está plagado de sellos no profesionales.
No hay puntuación en la advertencia inicial. No hay una coma o dos puntos después del saludo, "Hola John". Y si se tratara de un mensaje real de Google, que obviamente no fue, ofrezca a la compañía los apoyos por ser vagos y confusos.
¿Qué significa la primera oración? En segundo lugar, no hay ninguna solicitud de confirmación de actividad sospechosa. Solo una demanda para que la contraseña sea cambiada inmediatamente.
Y luego, un cierre muy cordial a este mensaje parece fuera de tono para la supuesta severidad de este mensaje. Sólo una "buena suerte" sería más ignorante. Tenga en cuenta que sí pusieron una coma después de "Mejor".
4. Familiarícese con una advertencia real de Gmail
Curiosamente, tres días después del exitoso correo electrónico de "phishing" del 19 de marzo, Google publicó información sobre posibles "ataques gubernamentales" contra algunos usuarios de Gmail. Para advertir a los usuarios, Google envió este mensaje a los usuarios de Gmail:
Tenga en cuenta su adherencia a la gramática y puntuación adecuada. Observe que no toma un tono mandón, de espaldas en la esquina. Es probable que su mensaje no sea el que aparece arriba, pero tendrá una apariencia similar, sin duda.
5. Leer los blogs de actualización de seguridad
Por supuesto, hubiera ayudado si la advertencia de Google se produjera tres días antes de este intento de phishing. Google, sin embargo, ha hecho esta advertencia similar en el pasado.
Si usa Gmail para el correo electrónico de su empresa, es aconsejable consultar la seguridad y otros blogs directamente desde Google. Configure una alerta o notificación cuando se creen nuevas publicaciones en los principales blogs de seguridad de Google.
6. Reconoce cuando está más allá de tu reino
Esta es un área donde la campaña lo hizo bien. Y tú también deberías.
El asistente que leyó el correo electrónico sabía claramente que esto estaba fuera de su jurisdicción. Pero claramente necesitaba ser abordado. Después de todo, este mensaje fue un intento de piratería.
En respuesta a este mensaje, el asistente contactó a un profesional de TI cercano a la campaña.
7. ¿No está seguro? Llama a un profesional
Nuevamente, esta es otra área donde la campaña lo hizo bien.
El asistente de Podesta que vio este siniestro mensaje en su bandeja de entrada casi de inmediato reconoció que esto podría ser algo. Entonces, se acercó al profesional de TI de la campaña. La campaña tenía una en su lugar y sonaron las alarmas correctas cuando el mensaje fue recibido inicialmente.
Si no está seguro de qué hacer con una posible amenaza a la seguridad, comuníquese con alguien que lo sepa.
8. Contrate un buen profesional
En el caso del ataque de phishing de Podesta, parece que el profesional de TI que la campaña de Clinton tenía en el personal o de guardia estaba al tanto de su información, al menos sobre Gmail.
Asegúrate de contar con un experto que pueda ofrecerte una ayuda real en un abrir y cerrar de ojos. Al reclutar a una persona así, comuníquese con un tercero que pueda hacerle preguntas de verificación para hacerle a su posible experto.
9. Lea los mensajes a fondo
Si vas a pagar a dicho experto en seguridad, mejor cuelga cada palabra. Subrayar cada.
Ese experto en TI escribió en un correo electrónico: “Este es un correo electrónico legítimo. John necesita cambiar su contraseña inmediatamente y asegurarse de que la autorización de dos factores esté activada en su cuenta … Es absolutamente imperativo que esto se haga lo antes posible ".
Ese mensaje incluía un enlace de Google para habilitar la autenticación de dos factores en la cuenta de Gmail de Podesta. El mensaje se envió de vuelta al asistente, quien lo reenvió a Podesta y a otro asistente, quien finalmente leyó el correo electrónico y actuó.
Sin embargo, el asistente que actuó no estaba seguro si el enlace copiado por el experto en TI era legítimo o si se refería a ese botón azul en el correo electrónico de phishing.
$config[code] not found¿Adivina en cuál se hizo clic?
10. Levante el teléfono, diríjalo en persona
No dejes que esta situación sea al azar. La ciberseguridad es una amenaza real para las pequeñas empresas. La primera vez que tu empresa es hackeada podría ser la última.
Al responder a una amenaza de correo electrónico, no utilice el correo electrónico para intentar resolverlo. Coger el teléfono. Obtenga la confirmación de que se están leyendo los mensajes correctos y de que se hace clic en los enlaces adecuados y se implementan los protocolos. Mejor aún, ponte en Skype y comparte tus pantallas. Aún mejor, haga que su experto aborde las amenazas en persona.
Todo sobre el protocolo
La seguridad cibernética es probablemente la mayor vulnerabilidad de su empresa ahora y en el futuro, al menos hasta que la aborde.
Un acercamiento cuidadoso, consistente y medido a todas las amenazas es imperativo. También enfatizará su importancia para su negocio para otros.
Foto de John Podesta a través de Shutterstock
3 comentarios ▼
