- El número de personas que hacen clic en enlaces en ataques de phishing se ha triplicado anualmente
- El nuevo informe de Netskope afirma que esto se debe a que los actores de amenazas han evolucionado sus tácticas
- Las aplicaciones en la nube siguen siendo el objetivo número uno
La cantidad de empleados que hacen clic en enlaces de phishing experimentará un aumento significativo en 2024, lo que pondrá a empresas de todos los tamaños en riesgo de verse comprometidas, según afirma una nueva investigación.
Un informe de Netskope basado en datos de uso anónimos recopilados por su plataforma Netskope One encontró que durante el año, por cada 1.000 empleados, había 8,4 que hicieron clic en un enlace de un correo electrónico de phishing.
Esto representa un aumento de 3 veces respecto al año anterior, cuando solo 2,9 personas hicieron lo mismo.
Microsoft es un destino popular
Netscope dice que el aumento significativo en los intentos de phishing exitosos se debió a dos cosas en particular: las personas que sufren de fatiga cognitiva (simplemente hay demasiados ataques de phishing y la gente termina cayendo con la guardia baja), y los actores de amenazas han sido súper creativos y adaptables, creando campañas más difíciles de detectar.
Sin embargo, los actores de amenazas estaban interesados principalmente en acceder a aplicaciones en la nube. Estos representaron más de una cuarta parte de todos los clics, siendo de particular interés las credenciales Live y 365 de Microsoft.
Las páginas de Yahoo y AOL también eran bastante comunes, mientras que las páginas de Adobe y DocuSign sirvieron como trampolín hacia otras certificaciones.
“La popularidad de Microsoft como objetivo de phishing no es sorprendente, ya que Microsoft 365 es la suite de productividad más popular por un amplio margen”, dice el informe.
Netskope sugirió que también será necesario renovar la capacitación sobre concientización sobre el phishing este año, porque estaba demasiado centrada en el correo electrónico y no lo suficiente en otros canales.
El correo electrónico no fue el vector de ataque número uno que distribuyó estos enlaces de phishing. Netscope cree que esto se debe principalmente a que las personas han aprendido a prestar atención a los correos electrónicos entrantes, lo que obliga a los actores de amenazas a ser creativos. “Saben que sus víctimas pueden desconfiar de los correos electrónicos entrantes (donde se les enseña repetidamente a no hacer clic en los enlaces), pero harán clic mucho más libremente en los enlaces de los resultados de los motores de búsqueda”, dice el informe.
Por lo tanto, en lugar de utilizar correos electrónicos, los usuarios fueron defraudados en los motores de búsqueda (mediante envenenamiento de SEO), así como en sitios de compras, tecnología y entretenimiento que publicaron referencias en comentarios, anuncios maliciosos y sitios infectados.