A vegades, la pesca (phishing) té objectius molt concrets; els ciberdelinqüents volen atacar una persona, grup o organització específics mitjançant correu electrònic. Aquesta mena d’atac, que va un pas més enllà de la pesca clàssica, es denomina pesca dirigida o spear phishing. El seu objectiu ets tu.
Després d’un estudi previ de la víctima, que marca la diferència amb la pesca tradicional, els atacants suplanten a una font de confiança per a obtindre les seues credencials o infectar el seu equip amb programari maliciós. Per a això buscaran dades i informació personal i professional real, com hàbits diaris, gustos, plans… detalls minuciosos per a tindre més credibilitat. Així van aconseguir enganyar una directiva de la Empresa Municipal de Transports de València (EMT) i robar 4 milions d’euros, en un dels majors ataques tipus Frau del CEO ocorreguts a Espanya.
Podria passar-te a tu? Clar que sí! El Frau del CEO és un exemple típic de pesca dirigida. En comptes d’enviar el mateix correu a milions d’usuaris, demanant-los que facen clic en un enllaç per a aconseguir les seues dades, el frau del CEO està personalitzat, fet a la teua mesura: saben que el teu cap ha eixit de viatge i no està en l’oficina. Aprofiten aquesta informació per a enviar-te un correu electrònic en el seu nom, en què et demanen alguna cosa: pagar una factura urgent, fer una transferència, enviar-li un informe confidencial… Tot molt urgent, només tu pots ajudar-lo, et demana aquest favor. Com t’hi pots negar? Se t’ocorreria comprovar si és qui diu ser? Així funciona el frau del CEO, amb un superior impostor que t’enganya perquè faces el que et demana. Ací pots veure’n diversos exemples.
La pesca dirigida va per tu. Segueix aquests consells per a evitar que t’atrape:
• Revisa el remitent del correu electrònic fins a l’últim detall: És manoloo@mmoda.es, de l’empresa Mi moda, qui t’envia el missatge, o el remitent hauria de ser manolo@mimoda.es? Fixa’t en tots els camps del remitent (nom, càrrec si apareix, adreça de correu). Si hi ha xicotets canvis d’ordre en les lletres, o bé un nom o un domini estrany en l’adreça, elimina’l immediatament i no faces res del que demana.
• No confies en un missatge, carta o telefonada només perquè es dirigisquen a tu pel teu nom i cognoms o incloguen detalls personals. Hui dia, que ho sàpien tot de tu és motiu per a sospitar, no per a confiar.
• No òbrigues correus de desconeguts o amb assumptes que no estigues esperant: elimina’ls. Recorda que són el principal mètode de comunicació de la pesca, encara que no l’únic, tal com explica aquesta guia.
• Revisa els enllaços inclosos en el missatge: verifica que www.bankia.es condueix a la web oficial de l’entitat. Si veus un enllaç com www.bankiä.es, sospita, no condueix a la web autèntica. Si desconfies d’una pàgina web, analitza així el seu URL abans d’accedir-hi o fer clic damunt.
• Consulta amb els teus superiors: Si reps un correu d’un company o d’un directiu en què et demana que pagues una factura o faces una transferència de manera urgent, para i pregunta als teus superiors. Verifica si el nom de l’empresa, les seues dades i la petició de pagament/transferència són correctes. “Perdre” un poc de temps pot evitar-te molts problemes. No faces cas de les peticions urgents, volen que actues amb pressa perquè no tingues temps de reflexionar. Abans de contestar o pagar, calma i precaució. La urgència és una dels senyals de la pesca.
• Extrema la precaució davant d’enllaços o arxius adjunts: si dubtes, millor no hi faces clic ni els descarregues.
• Com més vulnerabilitat, més cura: departaments com Recursos Humans o Administració estan especialment exposats a atacs, a causa de la gran quantitat d’informació confidencial que gestionen. Si treballes en àrees crítiques, has d’estar especialment alerta.
• Redacció estranya? Revisa les faltes d’ortografia i la gramàtica, ja que poden delatar una possible pesca. A vegades aquests atacs estan traduïts automàticament a l’espanyol i hi ha petits errors o frases estranyes que els delaten, encara que no sempre és així; els delinqüents aprenen ràpidament i la redacció va millorant amb les noves eines i la intel·ligència artificial.
• Informa’t sobre atacs: saber com poden estafar la teua empresa és una bona manera de detectar-los a temps. Busca exemples de casos en internet.
• Tot. Sempre. Actualitzat: amb la prudència humana no n’hi ha prou, les mesures tècniques són essencials per a evitar vulnerabilitats: tin actualitzat l’antivirus, el navegador, les extensions, el sistema operatiu i tots els programes i aplicacions que utilitzes. Revisa aquests consells bàsics per a la seguretat del teu equip.
• El correu corporatiu és únicament corporatiu: no uses les teues credencials professionals per a comptes privats, per exemple, d’Amazon, eBay, LinkedIn o altres serveis d’ús personal. Limita’t a usar aquestes dades en l’àmbit professional.
• Navega amb seguretat: el “cadenat” que apareix en la barra del navegador, t’evitarà connexions fraudulentes. Tot i que hi ha llocs maliciosos que poden obtindre aquest certificat de seguretat, saber diferenciar amb aquesta simple icona o elegint adreces que comencen per HTTPS t’evitarà caure en alguns paranys.
• Usa contrasenyes segures, almenys de 12 caràcters, que combinen números i lletres formant frases o regles mnemotècniques. No uses cap paraula que puga ser trobada en un diccionari ni conceptes que tinguen relació amb tu, com ara noms de familiars, dates significatives, noms de mascotes… Utilitza contrasenyes diferents per a cada compte o servei, no les compartisques, canvia-les cada cert temps i tin en compte aquests consells.
• Desactiva altres funcions: desactivar la vista HTML o la vista prèvia pot evitar l’execució de possible codi maliciós entre l’HTML. L’ús de la vista prèvia comporta els mateixos riscos que obrir el correu maliciós.
• Si reps una telefonada sospitosa en la qual et demanen informació, no reveles cap dada, encara que no et semble confidencial. Penja el telèfon i verifica la identitat de la persona que et telefona. Aquest tipus d’estafa s’anomena pesca per veu (vishing) i un cas habitual és la falsa telefonada de Microsoft.
• Sigues prudent amb la informació que publiques en xarxes socials. Mai compartisques dades sensibles com el teu correu professional o personal, l’adreça de casa, número de telèfon, dates de viatges o absències… com més informació publiques en les xarxes socials, més pistes els dones als atacants.
consciencia’T més
• Microcurs de seguretat en el correu electrònic
• Guia de seguretat en el teletreball