Hace unos días recibí un correo electrónico de invitación de LinkedIn de algún otro empleado de la empresa. Hice clic en el enlace del correo electrónico para verificar el perfil de LinkedIn de esta persona, inicié sesión con mi cuenta personal en LinkedIn y, voilà, resultó que era una prueba de phishing de mi empresa para probar qué tan propensos eran los empleados a los ataques de phishing.
No revisé el dominio URL del enlace, cosa que hago la mayor parte del tiempo, pero ese correo electrónico me tomó totalmente por sorpresa.
Hay varias cosas que deben cambiarse en esta prueba:
Esta prueba es un ataque de phishing exitoso en el que se filtran credenciales personales no relacionadas con la empresa a terceros. ¿Es esto legal incluso cuando tiene un propósito de seguridad paradójico?
Editar: mi cuenta de LinkedIn tenía una contraseña única (diferente a otras cuentas personales) y no estaba asociada con ningún otro servicio o cuenta externa. Cambié la contraseña de LinkedIn de inmediato una vez que se mostró el mensaje de phishing.
Edición 2: (1) mi preocupación no es sobre la prueba en sí, sino sobre las libertades que se han tomado para llevarla a cabo. No quiero que una empresa pruebe la conciencia de phishing CORPORATIVA con cuentas PERSONALES hasta el punto de que efectivamente robaron mis credenciales. (2) Almacenan el correo electrónico y la contraseña escritos. La empresa de phishing vende este hecho como una característica sorprendente de su plataforma de phishing. Ver viñeta 2. La empresa de phishing solo almacena los tiempos y el usuario corporativo que accedió al formulario.
Sea legal o no (póngase en contacto con un abogado en su área para verificar esto), creo que constituye una grave violación de la confianza, así como una violación de la privacidad.
El único factor atenuante podría ser si el correo electrónico llegó a través de su correo electrónico de trabajo, en cuyo caso:
Argumentarán que un ataque real podría seguir un patrón similar y tuvo lugar en sus máquinas/sistema de correo electrónico.
Cambiarán esta situación y dirán que, en primer lugar, no deberías haber estado en un sitio de redes sociales mientras estabas en el trabajo.
En cualquier caso, como usted mismo indicó, dado que no se le notificó la realización de la prueba ni se le aconsejó mejorar sus prácticas, el resultado general es simplemente que se siente traicionado; en realidad, no lo ayudó, excepto al exponer la duplicidad de su empleador. Quiero subrayar que el problema no es que se haya realizado la prueba, es que este tercero "robó" información personal, la envió a través de la web en claro y la almacenó en sus bases de datos. Creo que los empleados deberían haber sido informados de que esto sucedió y asegurados que su información será eliminada o contenida de otra manera.
Podría ir a quejarse con su gerente, pero en realidad, las posibilidades de que haga algo al respecto son bastante bajas. Tenga en cuenta que no estoy diciendo que no deba hablar con él, solo que lo más probable es que no tenga voz en cómo la empresa maneja estas cosas en el futuro.
Ahora que sus ojos se han abierto al tratamiento de sus datos personales por parte de esta empresa, es posible que desee buscar empleo en una empresa que trate a sus empleados de manera más honorable.
Sí, mi empleador anterior haría esto. Enviarían correos electrónicos de phishing y probarían cuántas personas iniciaron sesión. Lo que es inusual en su caso es que lo probaron con una cuenta privada de LinkedIn que no es parte de la empresa. Yo consultaría con un abogado sobre esto. Sé que tienen derecho a probar sus propios sistemas y, a menos que la cuenta de Linkedin sea suya, no veo ninguna razón por la que harían esto.
Espero que no culpes a tu empresa por esto. Simplemente cambiaría la contraseña y aceptaría que cometiste un error vergonzoso. En el futuro, espero que no hagas clic en los enlaces de algún correo electrónico, por muy tentador que sea.
La mayoría de los empleadores tienen una política que establece que son propietarios de toda la información enviada desde su red y/o dispositivos y que usted no tiene ninguna expectativa de privacidad, por lo que si estuviera usando credenciales personales para iniciar sesión en una cuenta personal desde una red de la empresa y/o o computadora, les ha dado el derecho de "poseer" esa información. Si le preocupa que su empleador tenga información o credenciales personales, use su propio tiempo, dispositivos y conexión a Internet mientras realiza negocios personales.
Ahora, si esto sucedió usando su dispositivo personal, dirección de correo electrónico y conexión a Internet, podría considerar contactar a un abogado.
Myles
duncat
david k
Étienne
Dan
colleenv
wesley largo
duncat
Brandín
nick coad
520 dice Reincorporar a Monica