Según ha explicado en comisión el concejal Francisco Herrera, se ha hecho un experimento de phishing con el personal municipal para ver, sin previo aviso, cómo actuaban. El experimento consistió en enviar 2.200 correos electrónicos a trabajadores y funcionarios de los que 600 entraron en el correo y, lo peor, dieron sus claves. Según Herrera, "si hubiera sido real hubiéramos tenido 600 cuentas secuestradas".
#7:
En una empresa que conozco enviaban al email corporativo un enlace no corporativo desde un remitente corporativo, si pulsaban aparecía el mensaje "ENHORABUENA: HAS GANADO LA OBLIGACIÓN DE HACER UN CURSO DE CIBERSEGURIDAD"
#23:
#1 Y los otros 1600 no picaron porque trabajan tan poco que ni abren el correo
#5:
¿Y la formación a los empleados? La noticia no lo dice (sí, me la he leído). As usual, la culpa de todo es de los trabajadores.
En mi empresa hacen este tipo de ejercicios cada cierto tiempo. Y cada vez se lo curran más, todo sea dicho. El caso es que nos dan un cursillo de 30 min, a cerca de estos temas. Obligatorio para todo el mundo.
Parece mentira que lo tenga que decir, pero la forma más fácil de conseguir accesos no autorizados es troleando a sus trabajadores.
#11:
#5 Donde estoy yo, unas 9000 personas, se les ha pasado a la consejería y responsables de informática, por activa y por pasiva, tripticos, cursillos y de todo, solo tenian que dar a enviar el correo. Llevamos esperando 5 años. No hay semana que no quiten a alguno la password del correo o la tarjeta de crédito.
Aparte de que hay una fuga de datos gorda, conocida desde hace años, que estan entregando los datos de los historiales a otras empresas. (Esto lo sé porque me llamaron de trading preguntando por mi nene, que tenia 1 mes cuando me llamaron, y solo esta mi teléfono con el nombre del nene en la consejeria, hospital de referencia y servicio de salud. Lo puse en conocimiento del servicio de informatica y de los de seguridad, y me soltaron la bocachanclada de: "No se te habrá metido el niño en alguna página y habra dado tus datos").
Eso sí, cada 2 por 3 damos acceso a los empleados de mantenimiento, de una subcontrata, a las carpetas de RRHH o contratos, con permiso del jefe de servicio de informática,
#8:
Que pase esto en una administración es malo, pero una amiga de mi hija que trabaja en una empresa internacional de ciberseguridad, al hacer un simulacro de phising en su empresa tuvo unos resultados que asustaban, y eso que se dedican a ello.
#10:
#5 A estas alturas sería cómo dar formación en no meter los dedos en un enchufe.
Todo el mundo tenemos contraseña personales delicadas, cómo las del banco.
Deberíamos saber estás cosas para que no nos roben información personal, no sólo para que no roben a la empresa donde trabajamos.
#1:
600 entre 2.200 destinatarios, picaron uno de cada cuatro
#34:
#6 No creo que comprobar que el dominio sea exactamente el mismo sea sentido común. Hay mucha gente que tiene un gran desconocimiento sobre la tecnología y no tienen ni idea de que es un dominio o un servidor. Tal como apuntan otros, creo que la solución es la formación, no echarles la bronca.
#15:
Los que no picaron es posible que no revisen el correo nunca
En una empresa que conozco enviaban al email corporativo un enlace no corporativo desde un remitente corporativo, si pulsaban aparecía el mensaje "ENHORABUENA: HAS GANADO LA OBLIGACIÓN DE HACER UN CURSO DE CIBERSEGURIDAD"
#7 En mi curro hoy han mandado el email de la comida de Navidad con un link al tripadvisor del restaurante... Si nos ponemos paranoicos mejor volver a los ochenta.
#7 Pregunto. ¿Se puede infectar un sistema sólo por entrar en una web maliciosa?.... un solo click en el correo, sin descargar nada ni introducir claves. Pensaba que no.
#48 Pues entonces, los informáticos del Ayto de Granada, en lugar de poner test fakes deberían de preocuparse en tener los navegadores actualizados... porque si le quitas esa funcionalidad internet se queda muy capado.
#50 con uno no actualizado es más difícil pero no imposible. Además es imposible parchear todos los ordenadores simultaneamente justo en el momento en el que una amenaza de seguridad se descubre, primero tienen que crear el parche, luego probarlo internamente, luego se distribuye, luego informática del ayuntamiento tiene que verificar que no interfiere con los sistemas, y luego hacer una distribución del software que no entorpezca el trabajo de nadie.
Eso contando con que se use un navegador soportado internamente en la empresa/organismo, la mayoría dan vía libre al uso del navegador que el trabajador crea oportuno.
#47 si el que hace el email malicioso tiene un exploit 0 days no corregido o se encuentra con que el destinatario tiene un navegador sin actualizar, si, se puede.
#47 Si abriste el correo ya descargaste algo. Si ese correo lleva un código javascript o similar, o una imagen que lleva incrustado código ejecutable a través de una vulnerabilidad en el sistema, el navegador o en la aplicación de correo, ya ejecutaste algo. Si el correo tiene un enlace a una página que hace phising simulando ser otra cosa, y no tomas las medidas para comprobar si esa página es de quien dice ser, ya picaste.
#7 una vez caí en uno de esos, porque el enlace era a algo así rollo https://100.200.300.400/verificar (o algo así) y era sobre un proceso bastante habitual en la empresa...
Total, pensé "madre mía, nos la están colando" pero como eran muy cutres para algunas cosas, y si el mensaje era cierto era algo importante... por si acaso miré en el RIPE esa IP y vi que pertenecía a mi empresa... y dije "madre mía, la gente se va a pensar que es phising"... y tachán! Me gané una charla de ciberseguridad
#7 en mi empresa hacen lo mismo. De vez en cuando recibo correos sospechosos y si estoy descuidado y los abro sin reportarlos como phishing me toca hacer un curso online.
¿Y la formación a los empleados? La noticia no lo dice (sí, me la he leído). As usual, la culpa de todo es de los trabajadores.
En mi empresa hacen este tipo de ejercicios cada cierto tiempo. Y cada vez se lo curran más, todo sea dicho. El caso es que nos dan un cursillo de 30 min, a cerca de estos temas. Obligatorio para todo el mundo.
Parece mentira que lo tenga que decir, pero la forma más fácil de conseguir accesos no autorizados es troleando a sus trabajadores.
#5 A mi nunca me han dado un curso sobre esto y no voy metiendo mis claves en todos los sitios que me lo piden. Está bien que la empresa los dé pero es que hay empleados muy empanados e ingenuos.
Sentido común, el menos común de los sentidos.
#6 No creo que comprobar que el dominio sea exactamente el mismo sea sentido común. Hay mucha gente que tiene un gran desconocimiento sobre la tecnología y no tienen ni idea de que es un dominio o un servidor. Tal como apuntan otros, creo que la solución es la formación, no echarles la bronca.
#6#34 si lo haces desde el móvil, muchas veces solo ves el principio o nada de la url.
Además estais presuponiendo que son los encargados de la informática y lo mas seguro que la mayoría sean los encargados del jardin.
Pero aun suponiendo que son gente formada, un abogado, un licenciado en Politicas o en Administración de empresas, lo único que le importa es dar al botón X y que le salga lo que quiere, o mirar la excel.
#6 Yo pienso que es un sentido común un poco de informático. Si el correo está currado y realmente parece corporativo, creo que caería mucha gente. Fíjate en tu entorno más cercano y seguro que verás que unas cuantas de esas personas picarían. Al menos en mi entorno, lo tengo claro.
#39 llamame tiquismiquis, pero a mi si me llega un email de pishing (y me llegan muchos) verifico hasta el ultimo link del mismo, y desde luego que no hago click en los enlaces para meter mis credenciales.
Si estás en una intranet en la que NO tienes acceso a internet (hay funcionarios en esa situación), o en una intranet que tiene bloqueado el acceso a esas páginas en las que se puede comprobar si un enlace es legítimo (es la situación de muuuuchos funcionarios).
¿Y cómo puedes exigir a una persona que "no haga clic" si la tienes trabajando en una intranet con certificados caducados (una intranet en la que se autentica diariamente con sus credenciales)?
¿Y cómo se puede pedir a una persona que mantenga segura su contraseña si tiene que acceder cada día en su puesto de trabajo a 4-5 aplicaciones en las que la contraseña tiene diferentes parámetros? Y que obligan a cambiar mensualmente. Y que no puedes repetir las cuatro últimas. Y que detecta patrones de tus contraseñas anteriores.
#5 A estas alturas sería cómo dar formación en no meter los dedos en un enchufe.
Todo el mundo tenemos contraseña personales delicadas, cómo las del banco.
Deberíamos saber estás cosas para que no nos roben información personal, no sólo para que no roben a la empresa donde trabajamos.
#10 Pues según el sector, las empresas están obligadas a dar hasta la formación en seguridad y salud más básica. O en su defecto, a exigir certificados que demuestren esta formación. Incluyendo cosas del tipo "no meter los dedos en los enchufes", o dicho de otra manera: "No manipular equipos eléctricos sin protección adecuada y sin asegurarse que no están conectados a una fuente de energía"
#5 Donde estoy yo, unas 9000 personas, se les ha pasado a la consejería y responsables de informática, por activa y por pasiva, tripticos, cursillos y de todo, solo tenian que dar a enviar el correo. Llevamos esperando 5 años. No hay semana que no quiten a alguno la password del correo o la tarjeta de crédito.
Aparte de que hay una fuga de datos gorda, conocida desde hace años, que estan entregando los datos de los historiales a otras empresas. (Esto lo sé porque me llamaron de trading preguntando por mi nene, que tenia 1 mes cuando me llamaron, y solo esta mi teléfono con el nombre del nene en la consejeria, hospital de referencia y servicio de salud. Lo puse en conocimiento del servicio de informatica y de los de seguridad, y me soltaron la bocachanclada de: "No se te habrá metido el niño en alguna página y habra dado tus datos").
Eso sí, cada 2 por 3 damos acceso a los empleados de mantenimiento, de una subcontrata, a las carpetas de RRHH o contratos, con permiso del jefe de servicio de informática,
#11 ¿A ver si va ser que se creen que esos trípticos y cursillos que reciben por email son phishing y no se atreven a "dar a enviar correo" no vaya a ser que la líen?
De hecho, en un caso que leí yo de phishing/ingeniera social, el primer contacto falló y el receptor se dio cuenta de que allí olía algo a chamusquina. El hacker se dio cuenta de que el receptor algo se olía, espero un rato y se volvió a poner en contacto con el receptor, le dijo que era de seguridad y que habían detectado intentos de acceso con su cuenta, etc. Total, que como al receptor toda la milonga le cuadraba ya que había visto cosas raras, tras hacerle un rato el lío (incluyendo consejos de ciberseguridad) , el hacker lo mandó un sitio a cambiar su contraseña, por eso de la seguridad y el intento de ataque. Y la lio
editado:
Lo mas crack que he visto es una empresa que tenía el cursito de ciberseguridad subcontratado en la web de otros y los propios de la empresa te mandaban a la web por un correo, donde entrabas con tu usuario y contraseña en la web. Pa mear y no echar gota.
#11 Pues yo diría que el jefe de servicio de informática de tu empresa, y posiblemente alguno más, se lo están llevando calentito por pasar o ayudar a pasar información confidencial de tu empresa a terceros.
#5 Ponte a tirar usb infectados en los alrededores de empresas, verás la cantidad de pardillos que llegan al curro y meten un usb que no saben lo que tienen en su pc corporativo...
#5 Ya no estamos en los 90, esto tiene que venir de serie al igual que la mecanografía si trabajas con un ordenador. La tecnología es parte de nuestras vidas desde hace muchos años y todo el mundo debería saber que no hay que dar datos como no hay que beber veneno o cruzar en verde.
#5 el problema és asociar esto a una cosa del trabajo, y no es así, es una cosa que te puede joder en lo personal. La gente cree que si pasa algo se joderá la empresa, y por tanto a mi me da igual.
Además a veces las empresas hacen un primer simulacro, miran cuantos han caído, hacen el curso, y vuelven a probar para ver si ha servido de algo.
En un curso que tuve que dar yo por baja de mi compañero, ponía como ejemplo que te robaran la cuenta de Facebook, pueden hacerte chantaje i subir fotos manipuladas tuyas de pederasta y te joden bien
1. Aprobado si reportabas el intento
2. Necesitas mejorar si no hacías nada
3. Suspenso si entrabas en la web
4. Llamadita de IT si entrabas en la web e intentabas instalar el programa cebo
Que pase esto en una administración es malo, pero una amiga de mi hija que trabaja en una empresa internacional de ciberseguridad, al hacer un simulacro de phising en su empresa tuvo unos resultados que asustaban, y eso que se dedican a ello.
Yo he visto experimentos de dejar desperdigados por una oficina sticks usb con material aparentemente sensible (archivos con nombre tipo "salario empleados.xls"), y que al abrir el susodicho archivo, el ordenador se bloqueaba y la única solución era llamar al departamento de informática
Vaya chorrada de noticia en mi empresa que es una consultora informática donde la gente se supone que está preparada también pico más de la mitad de la gente con uno de esos correos trampa
#3 En mi curro mandan un mensaje de estos cada mes mas o menos. Y siempre pica alguien. Yo incluido una vez (simplemente hice click en el link antes de ver que era mas falso que judas). Lo que tienen que hacer es formar a esos empleados, no echarles la bronca.
No es tan sencillo, para nada. El enchufe sabes dónde está y lo sabes distinguir. Los correos de phishing sí en su mayoría a poco que tengas un mínimo de experiencia, pero puedes no tener dicha experiencia y puede estar muy bien hecho el phishing.
Estuve trabajando en un ayuntamiento de un pueblo turístico de 20k habitantes, si a esos trabajadores les llamase por teléfono diciéndoles que estamos actualizando el sistema, siete de cada diez me darían las claves de acceso sin preguntar más.
#73 Y eso es porque los informáticos llevan décadas enseñando a los usuarios a saltarse la seguridad.
Si los usuarios nunca hubieran recibido una llamada (legítima) preguntando sus claves u otro tipo de información habrían aprendido a no darla.
Si yo estoy en mi puesto de trabajo y recibo una petición de "10.150.23.56 desea control sobre su equipo" ¿cómo cojones voy a saber si es mi personal de informática o un hacker?
El problema no es que yo acepte esa solicitud, sino en que se ha enseñado al usuario a aceptar una solicitud que no estaba correctamente identificada (porque al departamento de informática le da menos trabajo poner la IP que una identificación "humana")
Y es que cada uno debe asumir sus responsabilidades. Y, en mi opinión, es el departamento de informática el que tiene la primera y mayor responsabilidad.
en mi empresa se hace cada dos por tres, al que pica, curso coñazo (con examen), así que la gente está bastante atenta y, como un día te entre malware en el equipo y lo detecte el sistema, prepárate, porque lo primero que hace el sistema es bloquearse, manda una orden al directorio para anular el usuario (se auto tira de todas partes) y para que se reactive el usuario solo falta tener que sacrificar una virgen.,..
El fallo de seguridad real es que a traves de un correo, un documento o de una web te puedan ejecutar/modificar el ordenador. Al guapo que se le ocurrio meter macros/vb en los documentos y js en las pag. html habria que haberle colgado de los huevos.
Eso es lo que pasa cuando se selecciona el personal en base a su capacidad de memorizar, en lugar de competencias, aptitudes y sobretodo inteligencia y capacidad de aprender
Supongo que igual que la mayoría de meneantes, pero creo que no somos representativos de la sociedad. Hay mucha gente que no se aclara con la tecnología. Conozco muchos chavales que ni saben enviar un correo, vete tú a hablarles de phising (y está bien que lo hagas, porque si no, no sabrán ni que existe y picarán).
La instrumentalización del feminismo por parte de partidos con intereses propios tiene que parar porque está dinamitando el capital político del feminismo construido durante años de luchas colectivas.
Creo que ya es tarde para eso y que el movimiento está herido de muerte por llevarse de extremismos.
Comentarios
En una empresa que conozco enviaban al email corporativo un enlace no corporativo desde un remitente corporativo, si pulsaban aparecía el mensaje "ENHORABUENA: HAS GANADO LA OBLIGACIÓN DE HACER UN CURSO DE CIBERSEGURIDAD"
#7 Me parece un buen sistema, yo haria algo parecido, cada mes, para que la gente estuviera muy pendiente en esas cosas
#12 Así es en algunos sitios.
#7 En mi curro hoy han mandado el email de la comida de Navidad con un link al tripadvisor del restaurante... Si nos ponemos paranoicos mejor volver a los ochenta.
#7 Pregunto. ¿Se puede infectar un sistema sólo por entrar en una web maliciosa?.... un solo click en el correo, sin descargar nada ni introducir claves. Pensaba que no.
#47 con un navegador no actualizado sí puede pasar.
#48 Pues entonces, los informáticos del Ayto de Granada, en lugar de poner test fakes deberían de preocuparse en tener los navegadores actualizados... porque si le quitas esa funcionalidad internet se queda muy capado.
#50 con uno no actualizado es más difícil pero no imposible. Además es imposible parchear todos los ordenadores simultaneamente justo en el momento en el que una amenaza de seguridad se descubre, primero tienen que crear el parche, luego probarlo internamente, luego se distribuye, luego informática del ayuntamiento tiene que verificar que no interfiere con los sistemas, y luego hacer una distribución del software que no entorpezca el trabajo de nadie.
Eso contando con que se use un navegador soportado internamente en la empresa/organismo, la mayoría dan vía libre al uso del navegador que el trabajador crea oportuno.
#48 y con uno actualizado, también es posible.
#47 en este caso, si les la noticia, sabrías que dieron sus claves de acceso
#47 si el que hace el email malicioso tiene un exploit 0 days no corregido o se encuentra con que el destinatario tiene un navegador sin actualizar, si, se puede.
#47 Si abriste el correo ya descargaste algo. Si ese correo lleva un código javascript o similar, o una imagen que lleva incrustado código ejecutable a través de una vulnerabilidad en el sistema, el navegador o en la aplicación de correo, ya ejecutaste algo. Si el correo tiene un enlace a una página que hace phising simulando ser otra cosa, y no tomas las medidas para comprobar si esa página es de quien dice ser, ya picaste.
#47 El virus "I LOVE YOU" saltaba sólo con ver la preview del correo, para que te hagas una idea.
#7 una vez caí en uno de esos, porque el enlace era a algo así rollo https://100.200.300.400/verificar (o algo así) y era sobre un proceso bastante habitual en la empresa...
Total, pensé "madre mía, nos la están colando" pero como eran muy cutres para algunas cosas, y si el mensaje era cierto era algo importante... por si acaso miré en el RIPE esa IP y vi que pertenecía a mi empresa... y dije "madre mía, la gente se va a pensar que es phising"... y tachán! Me gané una charla de ciberseguridad
#7 en mi empresa hacen lo mismo. De vez en cuando recibo correos sospechosos y si estoy descuidado y los abro sin reportarlos como phishing me toca hacer un curso online.
¿Y la formación a los empleados? La noticia no lo dice (sí, me la he leído). As usual, la culpa de todo es de los trabajadores.
En mi empresa hacen este tipo de ejercicios cada cierto tiempo. Y cada vez se lo curran más, todo sea dicho. El caso es que nos dan un cursillo de 30 min, a cerca de estos temas. Obligatorio para todo el mundo.
Parece mentira que lo tenga que decir, pero la forma más fácil de conseguir accesos no autorizados es troleando a sus trabajadores.
#5 A mi nunca me han dado un curso sobre esto y no voy metiendo mis claves en todos los sitios que me lo piden. Está bien que la empresa los dé pero es que hay empleados muy empanados e ingenuos.
Sentido común, el menos común de los sentidos.
#6 No creo que comprobar que el dominio sea exactamente el mismo sea sentido común. Hay mucha gente que tiene un gran desconocimiento sobre la tecnología y no tienen ni idea de que es un dominio o un servidor. Tal como apuntan otros, creo que la solución es la formación, no echarles la bronca.
#6 #34 si lo haces desde el móvil, muchas veces solo ves el principio o nada de la url.
Además estais presuponiendo que son los encargados de la informática y lo mas seguro que la mayoría sean los encargados del jardin.
Pero aun suponiendo que son gente formada, un abogado, un licenciado en Politicas o en Administración de empresas, lo único que le importa es dar al botón X y que le salga lo que quiere, o mirar la excel.
#6 Yo pienso que es un sentido común un poco de informático. Si el correo está currado y realmente parece corporativo, creo que caería mucha gente. Fíjate en tu entorno más cercano y seguro que verás que unas cuantas de esas personas picarían. Al menos en mi entorno, lo tengo claro.
#39 llamame tiquismiquis, pero a mi si me llega un email de pishing (y me llegan muchos) verifico hasta el ultimo link del mismo, y desde luego que no hago click en los enlaces para meter mis credenciales.
#64 ¿Y cómo verificas el link?
Si estás en una intranet en la que NO tienes acceso a internet (hay funcionarios en esa situación), o en una intranet que tiene bloqueado el acceso a esas páginas en las que se puede comprobar si un enlace es legítimo (es la situación de muuuuchos funcionarios).
¿Y cómo puedes exigir a una persona que "no haga clic" si la tienes trabajando en una intranet con certificados caducados (una intranet en la que se autentica diariamente con sus credenciales)?
¿Y cómo se puede pedir a una persona que mantenga segura su contraseña si tiene que acceder cada día en su puesto de trabajo a 4-5 aplicaciones en las que la contraseña tiene diferentes parámetros? Y que obligan a cambiar mensualmente. Y que no puedes repetir las cuatro últimas. Y que detecta patrones de tus contraseñas anteriores.
#5 A estas alturas sería cómo dar formación en no meter los dedos en un enchufe.
Todo el mundo tenemos contraseña personales delicadas, cómo las del banco.
Deberíamos saber estás cosas para que no nos roben información personal, no sólo para que no roben a la empresa donde trabajamos.
#10 Pues según el sector, las empresas están obligadas a dar hasta la formación en seguridad y salud más básica. O en su defecto, a exigir certificados que demuestren esta formación. Incluyendo cosas del tipo "no meter los dedos en los enchufes", o dicho de otra manera: "No manipular equipos eléctricos sin protección adecuada y sin asegurarse que no están conectados a una fuente de energía"
#5 Donde estoy yo, unas 9000 personas, se les ha pasado a la consejería y responsables de informática, por activa y por pasiva, tripticos, cursillos y de todo, solo tenian que dar a enviar el correo. Llevamos esperando 5 años. No hay semana que no quiten a alguno la password del correo o la tarjeta de crédito.
Aparte de que hay una fuga de datos gorda, conocida desde hace años, que estan entregando los datos de los historiales a otras empresas. (Esto lo sé porque me llamaron de trading preguntando por mi nene, que tenia 1 mes cuando me llamaron, y solo esta mi teléfono con el nombre del nene en la consejeria, hospital de referencia y servicio de salud. Lo puse en conocimiento del servicio de informatica y de los de seguridad, y me soltaron la bocachanclada de: "No se te habrá metido el niño en alguna página y habra dado tus datos").
Eso sí, cada 2 por 3 damos acceso a los empleados de mantenimiento, de una subcontrata, a las carpetas de RRHH o contratos, con permiso del jefe de servicio de informática,
#11 que tenía 1 mes cuando me llamaron [...] "No se te habrá metido el niño en alguna página y habrá dado tus datos"
Joder si vienen enseñados los niños ahora
#11 Como si les dices que aún no había nacido. La culpa siempre es del niño
#11 ¿A ver si va ser que se creen que esos trípticos y cursillos que reciben por email son phishing y no se atreven a "dar a enviar correo" no vaya a ser que la líen?
De hecho, en un caso que leí yo de phishing/ingeniera social, el primer contacto falló y el receptor se dio cuenta de que allí olía algo a chamusquina. El hacker se dio cuenta de que el receptor algo se olía, espero un rato y se volvió a poner en contacto con el receptor, le dijo que era de seguridad y que habían detectado intentos de acceso con su cuenta, etc. Total, que como al receptor toda la milonga le cuadraba ya que había visto cosas raras, tras hacerle un rato el lío (incluyendo consejos de ciberseguridad) , el hacker lo mandó un sitio a cambiar su contraseña, por eso de la seguridad y el intento de ataque. Y la lio
#11 Pues yo diría que el jefe de servicio de informática de tu empresa, y posiblemente alguno más, se lo están llevando calentito por pasar o ayudar a pasar información confidencial de tu empresa a terceros.
#5 Conocí una empresa que ofrecia estos servicios... la formación consiste EN ESTO MISMO.
#5 Ponte a tirar usb infectados en los alrededores de empresas, verás la cantidad de pardillos que llegan al curro y meten un usb que no saben lo que tienen en su pc corporativo...
#35 El antiguo jefe de IT de mi curro hizo precisamente eso, encontrarse un USB y pincharlo en su máquina, que tenía acceso a todo. Un fenómeno.
#67 Deberían haberlo despedido por incompetencia en el cargo desempeñado.
#5 Ya no estamos en los 90, esto tiene que venir de serie al igual que la mecanografía si trabajas con un ordenador. La tecnología es parte de nuestras vidas desde hace muchos años y todo el mundo debería saber que no hay que dar datos como no hay que beber veneno o cruzar en verde.
#5 No les quitemos méritos, para el sentido común y la responsabilidad no hay curso.
#5 imaginate el otro extremo. suspensión de empleo y sueldo por negligencia
#5 el problema és asociar esto a una cosa del trabajo, y no es así, es una cosa que te puede joder en lo personal. La gente cree que si pasa algo se joderá la empresa, y por tanto a mi me da igual.
Además a veces las empresas hacen un primer simulacro, miran cuantos han caído, hacen el curso, y vuelven a probar para ver si ha servido de algo.
En un curso que tuve que dar yo por baja de mi compañero, ponía como ejemplo que te robaran la cuenta de Facebook, pueden hacerte chantaje i subir fotos manipuladas tuyas de pederasta y te joden bien
600 entre 2.200 destinatarios, picaron uno de cada cuatro
#1 tres de cada once
#4 60 de cada 220.
#49 30 de cada 110
#62 15 de cada 55.
#49 #62 #70 yo he hecho el mínino común divisor, conparaciones hay infinitas
. 3/11 > 1/4
#71 Querrás decir que has sacado el máximo común divisor. 😜
#1 Y los otros 1600 no picaron porque trabajan tan poco que ni abren el correo
#23 y si cada trabajador recibió más de un correo electrónico?
#26 Como en los simpsons, ¿no?
#23 Un clásico
#31 en mi caso había varias clasificaciones:
1. Aprobado si reportabas el intento
2. Necesitas mejorar si no hacías nada
3. Suspenso si entrabas en la web
4. Llamadita de IT si entrabas en la web e intentabas instalar el programa cebo
#78 mucho curro para IT
#23 Barrenderos, mantenimiento,... no viven conectados al correo.
#1 Al resto le pilló desayunando y no vieron el correo
#1 En la administración pública están las mentes más brillantes del país.
Así va.
#1 y los otros 3 no miran el correo
#1 Los otros estaban merendando
Que pase esto en una administración es malo, pero una amiga de mi hija que trabaja en una empresa internacional de ciberseguridad, al hacer un simulacro de phising en su empresa tuvo unos resultados que asustaban, y eso que se dedican a ello.
#8 A mi me parece hasta bajo el de la administracion publica, eso es porque la mitad ni se leen sus correos estan mas protegidos contra el phishing.
Los que no picaron es posible que no revisen el correo nunca
#15 Jake mate jakers
Yo he visto experimentos de dejar desperdigados por una oficina sticks usb con material aparentemente sensible (archivos con nombre tipo "salario empleados.xls"), y que al abrir el susodicho archivo, el ordenador se bloqueaba y la única solución era llamar al departamento de informática
Vaya chorrada de noticia en mi empresa que es una consultora informática donde la gente se supone que está preparada también pico más de la mitad de la gente con uno de esos correos trampa
Picaron por estar ociosos
#2 me gustaría ver el correo.
como fuera del tipo nadiuska busca hombre soltero o gana un iPhone por ser el usuario 1 millón...
Pocos me parecen
#3 El resto no fueron a trabajar ese día.
#16 o el resto no miran el correo de la empresa ....
#3 En mi curro mandan un mensaje de estos cada mes mas o menos. Y siempre pica alguien. Yo incluido una vez (simplemente hice click en el link antes de ver que era mas falso que judas). Lo que tienen que hacer es formar a esos empleados, no echarles la bronca.
#29 en la mía igual, estás pruebas son continuas, y tienes que hacer un cursillo pequeño obligatorio cada año. Debería ser lo normal.
Y esto son los seres de luz que cuidan de los servicios públicos y que jamás podremos despedir
#33 es lo que tiene obsesionarse por algunos temas
No es tan sencillo, para nada. El enchufe sabes dónde está y lo sabes distinguir. Los correos de phishing sí en su mayoría a poco que tengas un mínimo de experiencia, pero puedes no tener dicha experiencia y puede estar muy bien hecho el phishing.
Estuve trabajando en un ayuntamiento de un pueblo turístico de 20k habitantes, si a esos trabajadores les llamase por teléfono diciéndoles que estamos actualizando el sistema, siete de cada diez me darían las claves de acceso sin preguntar más.
#73 Y eso es porque los informáticos llevan décadas enseñando a los usuarios a saltarse la seguridad.
Si los usuarios nunca hubieran recibido una llamada (legítima) preguntando sus claves u otro tipo de información habrían aprendido a no darla.
Si yo estoy en mi puesto de trabajo y recibo una petición de "10.150.23.56 desea control sobre su equipo" ¿cómo cojones voy a saber si es mi personal de informática o un hacker?
El problema no es que yo acepte esa solicitud, sino en que se ha enseñado al usuario a aceptar una solicitud que no estaba correctamente identificada (porque al departamento de informática le da menos trabajo poner la IP que una identificación "humana")
Y es que cada uno debe asumir sus responsabilidades. Y, en mi opinión, es el departamento de informática el que tiene la primera y mayor responsabilidad.
en mi empresa se hace cada dos por tres, al que pica, curso coñazo (con examen), así que la gente está bastante atenta y, como un día te entre malware en el equipo y lo detecte el sistema, prepárate, porque lo primero que hace el sistema es bloquearse, manda una orden al directorio para anular el usuario (se auto tira de todas partes) y para que se reactive el usuario solo falta tener que sacrificar una virgen.,..
El fallo de seguridad real es que a traves de un correo, un documento o de una web te puedan ejecutar/modificar el ordenador. Al guapo que se le ocurrio meter macros/vb en los documentos y js en las pag. html habria que haberle colgado de los huevos.
Analfabetismo digital que cada vez va a más. Peligroso este asunto.
Probablemente picaron porque la estafa venía escondida con una invitación a mariscada gratis
#33 Júralo!!
Eso es lo que pasa cuando se selecciona el personal en base a su capacidad de memorizar, en lugar de competencias, aptitudes y sobretodo inteligencia y capacidad de aprender
Supongo que igual que la mayoría de meneantes, pero creo que no somos representativos de la sociedad. Hay mucha gente que no se aclara con la tecnología. Conozco muchos chavales que ni saben enviar un correo, vete tú a hablarles de phising (y está bien que lo hagas, porque si no, no sabrán ni que existe y picarán).
yo con lo que lo flipo es que gente tan lerda pueda sacarse una opsiciones dificilísimas
La instrumentalización del feminismo por parte de partidos con intereses propios tiene que parar porque está dinamitando el capital político del feminismo construido durante años de luchas colectivas.
Creo que ya es tarde para eso y que el movimiento está herido de muerte por llevarse de extremismos.
#25 me equivoqué de noticia
[Admin] editado por spam.
#18@admin
#18 a nadie le importa Livingstone, asúmelo...
#18 lo de no censura es mentira.@admin