Degut a l’augment significatiu de la recepció de correus electrònics classificats com a phishing i per tal de conscienciar adequadament a tot el personal de la nostra administració, hem elaborat aquesta guia de bones pràctiques amb 10 consells bàsics per així poder identificar la major part dels correus maliciosos i evitar forats de seguretat futurs en el nostres sistemes informàtics.
En primer lloc, dir que el phishing és una tècnica que consisteix en enganar als usuaris per a robar-los informació confidencial, claus d’accés, etc... fent-los creure que es troben en un lloc web de total confiança.
Fins hores d’ara els hackers han utilitzat correus electrònics per llançar aquests tipus d’atacs, tal com heu pogut comprovar darrerament. Així i tot, amb l’ús massiu de les xarxes socials i smartphones amb connexió a internet, les vies de possibles atacs es van multiplicant exponencialment, la qual cosa ens obliga a estar en permanent alerta davant aquests tipus d’atacs.
Però, com podem prevenir aquests tipus d’atacs?
- Avaluar el contingut del correu electrònic o missatge.
- Habitualment intenten manipular a la persona usuària per a que actui segons les indicacions del correu, afegint una excusa, problemes de caràcter tècnic, recents deteccions de frau i urgent increment del nivell de seguretat, canvis en la política de seguretat, ús anòmal al teu compte o similars.
- És també comú en aquests correus electrònics sol·licitar claus i altres dades d’accés a comptes bancaris, pràctica que les entitats bancàries vertaderes mai durien a terme. Recorda que, en general, la suma de sol·licitud de dades bancàries + dades personals = frau.
- Els correus electrònics no solen estar personalitzats, ja que són enviats de manera massiva. Per tant, solen començar amb alguna cosa similar a ‘Estimat client’, ‘Notificació a usuari’, etc.
- Una particularitat estesa en aquests tipus de missatges phishing és que solen tenir errors gramaticals i d’ortografia.
- Qui envia el correu no sol pertànyer en un inici a l’organització que s’intenta suplantar. Si es rep una comunicació d’una suposada entitat bancària des d’un correu tipus @gmail.com, @hotmail.com o qualsevol altre similar hauria d’aixecar immediatament les sospites. La majoria de vegades quan rebem un correu d’aquest tipus des d’un compte que pertany a la pròpia organització, vol dir que l’usuari remitent ja ha sofert un atac anteriorment d’aquest tipus i no ho ha detectat.
- Quasi tots els correus electrònics de phishing contenen un enllaç en el que es demana fer clic. Revisar si el text de l’enllaç que faciliten en el missatge coincideix amb l’adreça a la que apunta i que aquesta es correspongui amb una URL del servei legítim. Com a exemple, si el missatge suposadament prové d’una entitat bancària, s’haurà de verificar que l’adreça de l’enllaç que apareix en el correu electrònic du realment a l’entitat bancària.
- Encara que les pàgines malicioses també poden tenir aquesta mesura implementada, assegurar-se de que les pàgines comencen per ‘https’ i que mostren el pany de seguretat. La ‘S’ de ‘seguretat’ és un certificat que garanteix la protecció de la comunicació/transacció.
- Utilitzar un administrador de contrasenyes per a gestionar les nostres credencials en línia. És fonamental disposar de claus diferents per a cada servei web, ja que si es produeix un compromís de les dades d’inici de sessió, els ciberdelincuents intentaran utilitzar les credencials descobertes a tots els serveis web. Un bon administrador de contrasenyes que recomanem és el KeePass.
- Tenir implementats controls antiphishing: les estacions de treball de l’Ajuntament ja disposen d’aquests controls, però els ordinadors personals de cada usuari es responsabilitat d’aquest. Utilitzar per exemple, sistemes antispam o antimalware, que disposin d’eines per escanejar el correu en el moment de la seva recepció, fitxers adjunts, etc.
I com actuar davant un phishing?
- No accedir a llocs web mitjançant enllaços enviats per correus electrònics sospitosos.
- Mai respondre a cap sol·licitud d’informació personal mitjançant correu electrònic, cridada telefònica o missatge curt (SMS).
- Assegurar-se que els llocs web comencen per https i que mostren el pany se seguretat. Encara que aquesta característica no és suficient per verificar que un lloc web sigui de confiança, si no és https segurament es tracti d’un frau.
- Abans de descarregar qualsevol document adjunt, verificar que procedeix d’un remitent conegut i que el seu format entra dins els paràmetres normals dels enviaments d’aquest remitent. Si es tracta d’un remitent desconegut, no obrir cap imatge ni descarregar cap fitxer adjunt.
- Si es sospita que has estat víctima d’un atac de phishing, s’hauran de canviar immediatament totes les claus d’accés i posar-se en contacte amb l’empresa per informar-los de la incidència.
Una bona font d’informació respecte a la ciberseguretat és el portal https://www.incibe.es, el qual disposa d’un apartat exclusiu per al phishing el qual us recomanem la seva lectura.