Realiza un test de phishing a tus empleados con KnowBe4

Realiza un test de phishing a tus empleados con KnowBe4

El phishing lleva entre nosotros mucho, mucho tiempo. La gente lo conoce, se habla de él y de sus riesgos y, sin embargo, es de esos tipos de ataque que se siguen perpetuando, como un martillo pilón, sobre los usuarios un día, y otro, y otro… ¿No será que les sigue siendo rentable ejecutar campañas de correo fraudulento?

Y es que a pesar de los medios técnicos (anti-spam, anti-phishing) cuando los hay, claro está, y sin importar la concienciación e información al respecto, basta un 1% de tasa de apertura o clics sobre enlaces para justificar masivas campañas de spam con phishing. A veces, basta con uno de estos correos para poner en jaque a toda una organización y desplazarse lateralmente por sus redes.

Realiza un test de phishing sin coste

El test de phishing que te propongo hoy lo ofrece la empresa KnowBe4, popular porque además en ella trabaja el archiconocido Kevin Mitnick y por ofrecer entrenamientos de pago en ciberseguridad, además de algunos recursos gratuitos (en su día os hablé de RanSim, que sirve para comprobar si los equipos son vulnerables al ransowmare que procede de internet).

Este test  de phishing está disponible sin coste para correos corporativos, para hasta 100 cuentas de correo, y te da la posibilidad de generar informes de apertura.

Creando nuestra campaña de Phishing

Aparte de registrarte en la web de KnowBe4, los pasos son simples y permiten poner en marcha una campaña rápidamente. Veamos:

1) Pulsaremos sobre Next Step para comenzar

2) Escogeremos un estilo de email para engañar al usuario, tenemos disponibles 4 modelos (o lo podemos personalizar completamente):

  • Cambio de contraseña
  • Google Docs
  • Office 365 docs
  • Microsoft Exchange

3) Escogeremos una plantilla para mostrar cuando se realice una apertura (un 404 o bien una página instructiva sobre lo que ha sucedido)

4) Escogeremos los destinatarios y pre-visualizaremos nuestro email si queremos.

5) Comenzaremos, una vez hayamos verificado que nuestro sistema anti-spam no filtra estos correos.

El pase de diapositivas requiere JavaScript.

Respecto al uso que KnowBe4 podría o no hacer con las direcciones de correo que facilitemos, podemos estar tranquilos, ya que sus condiciones establecen que no se utilizarán en adelante y serán eliminadas.

Ahora podremos ver la vista previa y lanzar la campaña de email con spam o empezar directamente con ella. Posteriormente, a medida que se produzcan aperturas o clics se irán registrando estadísticas en el panel:

Porcentaje de phishing exitoso

Recomendaciones antes de comenzar la campaña

Es necesario, casi con toda seguridad, que incluyas en la lista blanca los dominios utilizados por Knowbe4 si tu entorno cuenta con un sistema de filtrado de email malicioso/spam. Si se usan sistemas como Barracuda que hacen clics autónomos sobre enlaces para seguir el contenido, también será necesario excluirlo en estos, para no recibir estadísticas “infladas” que no serían reales.

Estos son los dominios a excluir:

23.21.109.197

23.21.109.212

phishtest.knowbe4.com        

KnowBe4 Simulated Phishing emails

192.254.121.248

o2.pstemail.knowbe4.com

pstemail.knowbe4.com

KnowBe4 Training emails

52.49.201.246

52.49.235.189

eu-phishtest.knowbe4.com        

KnowBe4 Simulated Phishing emails

192.254.121.248

o2.pstemail.knowbe4.com

pstemail.knowbe4.com

KnowBe4 Training emails

Lee la documentación sobre la solución anti-spam que estés utilizando para configurarla apropiadamente. KnowBe4 pone a disposición de todos una excelente documentación para que no tengas ninguna duda.

Es recomendable que realices una prueba de envío a ti mismo o a tu equipo antes de comenzar. Así podrás tunear los ajustes de tu solución anti-spam y estar 100% seguro. Una vez recibas los emails con éxito, puedes empezar con Start your free PST now.

Conclusiones

Esta no es sino otra herramienta más a nuestro alcance para poner a prueba el sentido común y el conocimiento de los empleados respecto a esta lacra que supone el phishing y correos maliciosos en general. Os invito a que también reviséis otras herramientas anteriormente analizadas y efectivas en estos casos:

Como siempre, si encuentro alguna nueva utilidad que merezca la pena revisar, os lo haré saber 😉

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s