Cómo: Solucionar aperturas y clics falsos en los informes de AttackPhish

¿Por qué mi informe de AttackPhish muestra que los usuarios abren y hacen clic en correos electrónicos que nunca vieron?

Noticias

Si ves usuarios listados como que tienen abierto  y  clickeado Si recibe correos de phishing en cuestión de segundos, o incluso antes de que los abran, no se preocupe. Sus usuarios no mienten y todo funciona correctamente. Lo que ve es simplemente el resultado del correcto funcionamiento de las herramientas modernas de seguridad de correo electrónico.

¿Qué esta pasando?

Muchas soluciones de seguridad de correo electrónico, como Microsoft Defender para Office 365, Barracuda, Mimecast y  Proofpoint incluir características como Enlaces seguros, Protección de URL o  Escaneo de enlaces.

Cuando llega un correo electrónico de phishing simulado del módulo AttackPhish de CyberHoot, estos sistemas automáticamente:

1. Abre el mensaje en un entorno aislado y seguro para inspeccionar su contenido.
2. Haz clic en cada enlace del correo electrónico para verificar que es seguro antes de enviarlo a la bandeja de entrada del usuario.

Estos escaneos automatizados activan los mismos mecanismos de seguimiento que CyberHoot utiliza para registrar la actividad legítima de los usuarios. Como resultado, su informe podría mostrar:

• El correo electrónico se abrió segundos después de su entrega.
• Se hizo clic en un enlace en el mismo minuto.
• Varios usuarios muestran marcas de tiempo idénticas.

Por qué sucede esto

• Los escáneres de enlaces automatizados imitan los clics de los usuarios.
• Las pasarelas de seguridad siguen las URL incrustadas para comprobar si hay redirecciones maliciosas.
• Durante este proceso se cargan píxeles de seguimiento, que marcan erróneamente los mensajes como abiertos.

En resumen, es su sistema de seguridad (no su usuario) el que "hace clic".

Como arreglarlo

Para garantizar que sus informes de AttackPhish reflejen con precisión el comportamiento real de los usuarios, deberá permitir que las simulaciones de phishing de CyberHoot pasen por sus filtros de correo electrónico sin inspección en entorno aislado.

Siga la siguiente guía para M365:

[Guía: Cómo crear una lista de permitidos mediante el encabezado X en Exchange 2013/2016 o Microsoft 365]

Para obtener la lista de direcciones IP y nombres de dominio de CyberHoot necesarios para configurar la lista blanca y para ayudarle con otras tecnologías, consulte esta página:

https://cyberhoot.com/howto/cyberhoots-email-ip-addresses-and-hostnames/

Resumen

Los falsos registros de "aperturas" y "clics" en los informes de AttackPhish casi siempre se deben a que las tecnologías de escaneo de enlaces cumplen su función: proteger a los usuarios. Una vez que los dominios o encabezados de CyberHoot estén en la lista blanca, verá resultados precisos que reflejan el comportamiento real de los usuarios.