El correo electrónico pirateado - no el otro problema de correo electrónico - que impacta las elecciones presidenciales de este año debería ser una advertencia severa para cualquier propietario de una pequeña empresa.
Los ciberataques están en aumento y no es necesario ser el presidente de campaña de un candidato presidencial para ser un objetivo. De hecho, si usted es propietario de una pequeña empresa, es más probable que sea el blanco.
Así es como sucedió: se envió un correo electrónico de spear phishing al presidente de campaña de Hillary Clinton, John Podesta. Un asistente leyó el correo electrónico, se preocupó y se contactó con la ayuda de expertos contratados. Se cruzaron las líneas, se hizo clic en un enlace incorrecto y el resto se está desarrollando.
Esto podría pasarle a usted y, aunque las ramificaciones pueden no tener el mismo impacto global que Podesta, alguien tendría dificultades para explicárselo cuando lo haga.
Así que aquí están las lecciones clave de 10 que deben aprender los propietarios de pequeñas empresas del correo electrónico John Podesta.
Aprendiendo del correo electrónico John Podesta Hack
1. Implementar una cadena de comando
Habrá ocasiones en que se intenten infracciones de seguridad. Es posible que ya haya sucedido en su pequeña empresa. Si no lo ha hecho, lo hará.
A pesar de que Wikileaks está ocupando miles de correos electrónicos de la cuenta de Gmail de Podesta, decenas de miles de pequeñas empresas son blanco de hackers. Y a menos que sea un experto en ciberseguridad, necesitará un plan para enfrentar estas amenazas.
Delinear una cadena de comando para lidiar con amenazas de seguridad cibernética. Deje que todos los asociados con su empresa sepan cuál es la cadena de mando cuando se enfrenta a una posible amenaza a la seguridad. ¿Quién contacta con quién y qué hace cada persona?
2. Lee y responde a tus propios correos electrónicos
El truco comenzó cuando un asistente del presidente de campaña de Clinton, Podesta, leyó este mensaje en la cuenta de Gmail de su jefe (Imagen a través de The Smoking Gun):
El mensaje fue enviado a [correo electrónico protegido]
Entonces, la gran conclusión aquí -el punto en el que todo comienza a romperse- es que si es su correo electrónico con su nombre, usted debe ser el encargado de abrir, leer y responder a los mensajes.
3. Los errores tipográficos y los errores son los sellos de un hack
Si hay una cosa que generalmente separa a los piratas informáticos de la legitimidad, es la adherencia a la gramática y la puntuación.
El encabezado del mensaje en el corazón del ataque de Podesta dice "Alguien tiene su contraseña", pero al igual que esa línea, el correo electrónico está plagado de marcas no profesionales.
No hay puntuación en la advertencia inicial. No hay coma o colon después del saludo, "Hola Juan". Y si este fuera un mensaje real de Google, que obviamente no lo era, acéptelo a la compañía por ser vago y confuso.
¿Qué significa la primera oración? En segundo lugar, no hay pedido de confirmación de actividad sospechosa. Solo una exigencia de que la contraseña se cambie de inmediato.
Y luego, un cierre muy cordial a este mensaje parece desafinado por la supuesta severidad de este mensaje. Solo una "buena suerte" sería más ignorante. Sin embargo, tenga en cuenta que pusieron una coma después de "Mejor".
4. Familiarícese con una advertencia real de Gmail
Curiosamente, fue 3 días después del mensaje de marchas de phishing con éxito 19 de marzo que Google publicó información sobre posibles "ataques del gobierno" contra algunos usuarios de Gmail. Para advertir a los usuarios, Google envió este mensaje a los usuarios de Gmail:
Tenga en cuenta su adherencia a la gramática y la puntuación adecuada. Tenga en cuenta que no tiene un tono mandón, de respaldo en la esquina. Es probable que su mensaje no sea el de arriba, pero tendrá una apariencia similar, sin duda.
5. Leer blogs de actualización de seguridad
Por supuesto, hubiera sido útil que la advertencia de Google llegara tres días antes de este intento de suplantación de identidad. Google, sin embargo, ha hecho esta advertencia similar en el pasado.
Si usa Gmail para el correo electrónico de su compañía, entonces es conveniente verificar la seguridad y otros blogs directamente desde Google. Configure una alerta o notificación cuando se creen nuevas publicaciones en blogs clave de seguridad de Google.
6. Reconoce cuando está más allá de tu reino
Esta es un área donde la campaña lo hizo bien. Y tú deberías, también.
El asistente que leyó el correo electrónico claramente sabía que esto estaba fuera de su jurisdicción. Pero claramente era necesario abordarlo. Después de todo, este mensaje fue un intento de piratería.
Reaccionando a este mensaje, el asistente contactó a un profesional de TI cercano a la campaña.
7. ¿Inseguro? Llamar a un profesional
Nuevamente, esta es otra área donde la campaña lo hizo bien.
El ayudante de Podesta que vio este mensaje ominoso en su bandeja de entrada casi de inmediato reconoció que esto podría ser algo. Entonces, se acercó al profesional de TI de la campaña. La campaña tenía uno en su lugar y las alarmas correctas sonaron cuando el mensaje se recibió inicialmente.
Si no está seguro de qué hacer con una posible amenaza a la seguridad, comuníquese con alguien que lo sepa.
8. Contrata un buen profesional
En el caso del ataque de phishing de Podesta, parece que el profesional de TI que la campaña de Clinton tenía en el personal o de turno estaba al tanto de su información, al menos sobre Gmail.
Asegúrese de contar con un experto bien informado que pueda ofrecer ayuda real en cualquier momento. Al reclutar a esa persona, comuníquese con un tercero que pueda darle preguntas de investigación para preguntarle a su posible experto.
9. Lea los mensajes a fondo
Si va a pagar a dicho experto en seguridad, mejor cumpla con cada una de sus palabras. Subrayar cada.
Ese experto en TI escribió en un correo electrónico: "Este es un correo electrónico legítimo. John necesita cambiar su contraseña de inmediato, y asegurarse de que la autorización de dos factores esté activada en su cuenta ... Es absolutamente imprescindible que esto se haga lo antes posible ".
Ese mensaje incluía un enlace de Google para habilitar la autenticación de dos factores en la cuenta de Gmail de Podesta. El mensaje fue enviado nuevamente al asistente que lo envió a Podesta y a otro asistente, quien finalmente leyó el correo electrónico y actuó en consecuencia.
Sin embargo, el asistente que actuó al respecto no estaba seguro de si, o no, el enlace copiado por el experto en TI era legítimo o si se refería al botón azul en el correo electrónico de phishing.
¿Adivina cuál fue cliqueado?
10. Levante el teléfono, diríjalo en persona
No dejes que esta situación sea casual. La ciberseguridad es una amenaza real para las pequeñas empresas. La primera vez que su empresa es pirateada podría ser la última.
Al responder a una amenaza de correo electrónico, no use el correo electrónico para intentar resolverlo. Coger el teléfono. Obtenga la confirmación de que se leen los mensajes correctos y se hace clic en los enlaces adecuados y se establecen los protocolos. Mejor aún, sube a Skype y comparte tus pantallas. Aún mejor, tenga las amenazas de su dirección de experto en persona.
Todo sobre el protocolo
Es probable que la ciberseguridad sea la mayor vulnerabilidad de su empresa ahora y en el futuro, al menos hasta que la aborde.
Es imperativo un enfoque cuidadoso, consistente y mesurado de todas las amenazas. También enfatizará la importancia de su negocio para otros.
John Podesta Photo a través de Shutterstock
