Realiza un test de phishing a tus empleados con KnowBe4

El phishing lleva entre nosotros mucho, mucho tiempo. La gente lo conoce, se habla de él y de sus riesgos y, sin embargo, es de esos tipos de ataque que se siguen perpetuando, como un martillo pilón, sobre los usuarios un día, y otro, y otro… ¿No será que les sigue siendo rentable ejecutar campañas de correo fraudulento?

Y es que a pesar de los medios técnicos (anti-spam, anti-phishing) cuando los hay, claro está, y sin importar la concienciación e información al respecto, basta un 1% de tasa de apertura o clics sobre enlaces para justificar masivas campañas de spam con phishing. A veces, basta con uno de estos correos para poner en jaque a toda una organización y desplazarse lateralmente por sus redes.

Realiza un test de phishing sin coste

El test de phishing que te propongo hoy lo ofrece la empresa KnowBe4, popular porque además en ella trabaja el archiconocido Kevin Mitnick y por ofrecer entrenamientos de pago en ciberseguridad, además de algunos recursos gratuitos (en su día os hablé de RanSim, que sirve para comprobar si los equipos son vulnerables al ransowmare que procede de internet).

Este test  de phishing está disponible sin coste para correos corporativos, para hasta 100 cuentas de correo, y te da la posibilidad de generar informes de apertura.

Creando nuestra campaña de Phishing

Aparte de registrarte en la web de KnowBe4, los pasos son simples y permiten poner en marcha una campaña rápidamente. Veamos:

1) Pulsaremos sobre Next Step para comenzar

2) Escogeremos un estilo de email para engañar al usuario, tenemos disponibles 4 modelos (o lo podemos personalizar completamente):

• Cambio de contraseña
• Google Docs
• Office 365 docs
• Microsoft Exchange

3) Escogeremos una plantilla para mostrar cuando se realice una apertura (un 404 o bien una página instructiva sobre lo que ha sucedido)

4) Escogeremos los destinatarios y pre-visualizaremos nuestro email si queremos.

5) Comenzaremos, una vez hayamos verificado que nuestro sistema anti-spam no filtra estos correos.

El pase de diapositivas requiere JavaScript.

Respecto al uso que KnowBe4 podría o no hacer con las direcciones de correo que facilitemos, podemos estar tranquilos, ya que sus condiciones establecen que no se utilizarán en adelante y serán eliminadas.

Ahora podremos ver la vista previa y lanzar la campaña de email con spam o empezar directamente con ella. Posteriormente, a medida que se produzcan aperturas o clics se irán registrando estadísticas en el panel:

Recomendaciones antes de comenzar la campaña

Es necesario, casi con toda seguridad, que incluyas en la lista blanca los dominios utilizados por Knowbe4 si tu entorno cuenta con un sistema de filtrado de email malicioso/spam. Si se usan sistemas como Barracuda que hacen clics autónomos sobre enlaces para seguir el contenido, también será necesario excluirlo en estos, para no recibir estadísticas «infladas» que no serían reales.

Estos son los dominios a excluir:

23.21.109.197 23.21.109.212	phishtest.knowbe4.com	KnowBe4 Simulated Phishing emails
192.254.121.248	o2.pstemail.knowbe4.com pstemail.knowbe4.com	KnowBe4 Training emails