En aquesta nova campanya de CSIRT-CV hem posat el focus en les ciberamenaces que han marcat l’any passat i en les mesures que hem de prendre per a viure un any 2022 cibersegur.
En 2021 es van multiplicar els casos de robatoris de dades privades a través del phishing o els ciberatacs de ransomware. També les fake news van provocar que s’alterara la nostra convivència, i el ciberespionatge va ocasionar importants pèrdues a les empreses i inestabilitat en els governs.
L’objectiu d’aquesta campanya és que conegueu els tipus de ciberatacs més habituals en els nostres dies i la millor manera d’evitar-los o fer-los front. Els mateixos usuaris d’Internet podem ser la primera barrera que impedisca que els ciberdelinqüents accedisquen a les nostres dades privades o a les de les organitzacions amb les quals treballem.
1. Ransomware
Recentment, Karpesky ha publicat que quasi el 50% dels ciberatacs de 2021 van ser duts a terme per ransomware.Un dels casos més sonats va ser al març de 2021, quan el Servei Públic d’Ocupació Estatal (SEPE) va ser atacat pel ransomware Ryuk, que va inutilitzar la seua pàgina web durant diversos dies i va dificultar el servei en les més de 700 oficines presencials del SEPE i en 52 de telemàtiques. Per a aconseguir mantindre el funcionament d’aquest servei, els treballadors del SEPE van haver de realitzar al voltant de 19.000 hores extres.
Els atacs de ransomware estan a l’ordre del dia i qualsevol tipus d’organització ha de prendre mesures de ciberseguretat per a evitar-los.
Consulta la guia sobre ransomware de Incibe per a estar informat sobre aquest ciberdelicte:
https://www.incibe.es/protege-tu-empresa/guias/ransomware-guia-aproximacion-el-empresario
2. Compres en Internet
Durant la pandèmia, l’increment de les compres online ha convertit els serveis postals en l’objectiu perfecte per a executar el robatori de dades a través del phishing.
Al començament de 2021 centenars de terminals mòbils van rebre un SMS amb el següent contingut:
“CORREOS: Tu envío está en camino: correos-track.top/XXXXXXX/”
L’enllaç portava els usuaris a una pàgina que descarregava una aplicació que permetia els ciberdelinqüents accedir a les dades personals i bancàries de la víctima.
Al llarg de l’any, es van continuar utilitzant com a esquer el nom d’altres companyies com ara MRW, DHL o FedEx.
Perquè estigues alerta i sàpies identificar el phishing, et recomanem llegir aquesta guia que hem elaborat en CSIRT-CV:
https://concienciat.gva.es/va/tutorials/guia-per-a-identificar-phishing/
3. Robatori de credencials en plataformes d’streaming
Uses la mateixa contrasenya per a accedir a múltiples plataformes d’streaming? Si és així, formes part del 59% de la població espanyola que empra un sols password per al registre dels seus comptes en diferents llocs d’Internet. I què implica això? Posar-ho fàcil als ciberdelinqüents: si aconsegueixen obtindre les teues claus d’accés, podran accedir als teus comptes en altres llocs web.
A la fi de 2021, Twitch, el gegant de l’streaming, propietat d’Amazon, va patir un hacking que va exposar fins a 125 GB de dades sensibles, entre aquestes, les contrasenyes de la seua comunitat d’usuaris.
Per a comprovar si el teu compte de correu s’ha vist alguna vegada compromés, pots utilitzar haveibeenpwned.com.
Des de CSIRT-CV et recomanem comptar sempre amb un gestor de contrasenyes per a portar un control eficaç de tots els teus passwords.
Per a saber-ne més, consulta aquesta guia que hem elaborat perquè les teues dades més sensibles estiguen sempre fora de perill:
https://concienciat.gva.es/va/sabies_que/estan-les-meues-dades-fora-de-perill/
4. Suplantació d’identitat
Cada vegada més persones pateixen el robatori de la seua identitat digital. La Suplantació d’identitat és fer-se passar per una altra persona amb l’objectiu d’escometre un fet il·lícit.
La persona que suplanta la identitat d’una altra podria obtindre una hipoteca o crèdit en nom de la persona que suplanta, fer-se passar per ella en xarxes socials, i fins i tot, fer compres en Internet.
És important que et connectes només a llocs segurs i revises la informació que proporciones en Internet i en les xarxes socials. Has de llegir la política de privacitat per a saber si estàs donant permís per a compartir les teues dades. Un antivirus sempre actualitzat també et pot ajudar a frenar qualsevol intent de suplantació d’identitat.
Consulta aquest article de CSIRT-CV per a saber quines altres mesures pots prendre per a evitar ser víctima d’aquest ciberdelicte:
https://concienciat.gva.es/va/sabies_que/suplantacio-didentitat/
5. El frau del CEO
Gestiones els comptes o realitzes transferències bancàries en la teua empresa? Si és així, has de parar atenció si reps un correu d’un “presumpte superior” que et pressiona per a realitzar alguna operació financera i t’indica que es tracta d’un assumpte confidencial i urgent. Podries estar patint el frau del CEO.
Els ciberdelinqüents solen recopilar molta informació de la companyia a la qual volen estafar, i ataquen per la via més versemblant. A vegades, arriben a suplantar dominis, la qual cosa es coneix com a “email spoofing”.
Hi ha una regla d’or que s’ha de respectar per a lluitar contra aquesta ciberamenaça: cerciora’t que l’ordre de pagament prové realment del teu superior.
Per a saber més sobre aquest ciberdelicte, consulta aquests consells de CSIRT-CV:
https://concienciat.gva.es/va/tips_de_seguretat/10-consells-per-a-no-ser-victima-del-frau-del-ceo/
6. Atacs de força bruta
Segons Kaspersky, els atacs de força bruta han augmentat un 31,6% en 2021. La millor manera d’evitar-los és reforçar les contrasenyes.
Aquests atacs busquen obtindre claus mitjançant assaig i error o l’ús d’eines informàtiques molt sofisticades. La presa de consciència és la teua millor aliada.
Utilitza sempre contrasenyes llargues, com a mínim de 12 caràcters, combina majúscules i minúscules, utilitza també números i caràcters especials.
A més, recorda que sempre és preferible utilitzar una frase encriptada abans que una paraula que et resulte familiar. Desactiva l’opció de “recordar contrasenyes” i no uses la mateixa per a diferents llocs web.
Per a tindre-les sempre a mà de manera segura, usa sempre un gestor de contrasenyes. Consulta la nostra guia sobre el seu ús:
https://concienciat.gva.es/va/tutorials/guia-de-uso-de-gestores-de-contrasenas/
7. Estafes en l’ús de criptomonedes
L’any 2021 ha sigut testimoni d’estafes sonades en el terreny de les criptomonedes. Un dels casos més mediàtics va ser el de Poly Network, una plataforma de finançament descentralitzat, que va patir un robatori de 600 milions de dòlars.
Ací tens tres consells clau per a evitar ser víctima dels ciberdelinqüents i invertir de manera segura en criptomonedes:
● Assegura el seu emmagatzematge: en una casa de canvi o en un moneder digital.
● Diversifica, com en qualsevol altra mena d’inversió.
● Fuig de falses promeses que prometen lucrar-se en poc temps o d’assessors sense cap mena de credencial.
I recorda, com en el món real, en el món digital també cal estar informat i alertat a l’hora de realitzar una inversió.
8. Ciberespionatge
El software Pegasus ha suposat un maldecap per a països i empreses de tot el món en 2021. Aquest software va ser utilitzat pels serveis secrets de més d’una dotzena de països per a espiar, gravar i robar dades sensibles de milers de periodistes, polítics, dissidents i activistes.
Com sempre, la millor manera de fer front a aquestes ciberamenaces és tindre tota la informació. Si vols aprofundir més sobre el ciberespionatge i molts altres ciberdelictes, fes aquest microcurs gratuït d’una hora de duració d CSIRT-CV:
https://concienciat.gva.es/va/cursos/delictes-tecnologics/
9. Fake News
El coronavirus ha sigut una font contínua de Fake News. Des de les teories conspirativas més eixelebrades fins a faules que deien que les vacunes podien generar problemes de salut o que modificaven el nostre ADN.
És essencial que no et deixes enganyar. Per a això sempre has d’analitzar la font de la qual prové la notícia, posa’t en alerta davant un titular groc i desconfia quan trobes faltes d’ortografia o el format et resulte estrany.
Et recomanem seguir els consells de la nostra campanya “Stop Fake News!” per a aprendre a identificar notícies falses:
10. Atacs coordinats “en gran”
En 2021 es va continuar amb la investigació de l’atac que es va produir a la fi de l’any anterior contra la companyia de software estatunidenc SolarWinds. El president de Microsoft el va qualificar com “el major i més sofisticat ciberatac de la història”.
El ciberatac amagava codi maliciós en actualitzacions i va afectar 18.000 clients de SolarWinds. Entre aquests, les principals institucions de seguretat dels Estats Units, el seu Departament d’Estat i, fins i tot, les deu majors empreses de telecomunicacions del país.
Els ciberatacs coordinats i de dimensions espectaculars, com el de SolarWinds, han despertat l’alerta de les agències de ciberseguretat internacionals, i demanden mantindre un control molt més rigorós.
Cal ser conscients que ens enfrontem a uns enemics que treballen perfectament coordinats i que, si no s’actua amb diligència i atenció constant, poden posar en risc el funcionament dels estats afectats.
Ací acaba la campanya “10 ciberamenaces que han marcat 2021”. Hem volgut que conegueu els ciberatacs més freqüents patits l’any passat. Esperem que us haja sigut d’utilitat per a estar alerta durant aquest 2022.
La informació i els recursos que us hem oferit us ajudaran a reconéixer possibles ciberatacs i a saber com actuar si els identifiqueu o en sou víctimes.
Cal tindre en compte que la transformació digital millora les societats, però també hem de conéixer els riscos als quals estem exposats cada dia en la Xarxa.
El factor humà sempre és fonamental i decisiu per a impedir que els ciberdelinqüents aconseguisquen el seu propòsit. Existeixen multitud de mesures a prendre per a no ser víctima d’algun dels ciberdelictes exposats en aquesta campanya.
Entre tots, podem fer que enguany siga més cibersegur. Convertim-nos en autèntics Human Firewalls!
Pots trobar els consells d’aquesta campanya en les nostres xarxes socials Facebook i Twitter buscant el hashtag #2022Ciberseguro.