Butlletí d’abril 2022

Un altre mes tornem amb un nou butlletí, en el qual tractarem els riscos derivats del phishing i la necessitat d’augmentar la nostra conscienciació sobre aquest tema.

El correu electrònic s’ha convertit en una eina imprescindible en el dia a dia professional i personal. Les males pràctiques o la falta d’atenció poden donar lloc al fet que el correu siga furonejat, o es convertisca en un porta d’entrada de malware a l’ordinador. El correu electrònic és un servei en el qual pràcticament ho tenim tot: comunicacions de clients, arxius adjunts, dades d’autenticació, documents privats i informació sensible, informació confidencial de l’empresa…

En aquest sentit, la formació i conscienciació en matèria de ciberseguretat es converteix en un pilar fonamental. És important tindre en compte que més del 99% dels atacs depenen de la interacció humana per a activar-se, i el correu electrònic és el vector d’amenaça més usat. Així mateix, la major amenaça per a l’usuari mitjà és el famós phishing. A través d’aquesta amenaça, els ciberdelinqüents envien missatges suplantant la identitat de fonts fiables (institucions financeres, empreses com Zara o Amazon…), amb l’objectiu de sol·licitar i obtindre informació personal o bancària.

Segons l’informe anual 2020-2021 de l’Associació Espanyola d’Empreses contra el Frau, AEECF, a Espanya s’han incrementat les estafes un 47% aproximadament, amb un especial protagonisme del phishing. La suplantació d’identitat (58%) i els atacs de phishing (27%) són els tipus de frau més comuns. A nivell corporatiu, el 42% dels enquestats estableix l’import mitjà defraudat entre 1.000 i 5.000 euros, mentre que el 21% el situa per damunt dels 50.000 euros. Així mateix, les comunitats autònomes més afectades han sigut Catalunya (35%), Andalusia (25%), València i Madrid (10%).

D’altra banda, tal com afirma l’estudi State of the Phish 2022, elaborat per Proffpoint, el 86% de les empreses enquestades van patir atacs de phishing durant 2021, i un 80% confirma que els incidents van tindre conseqüències. Aquestes xifres suposen un cost mitjà de més de 1.422 euros per empleat.

Referent a això, LinkedIn (52%), DHL (14%) i Google (7%), són les marques amb més intents de suplantació registrats en els tres primers mesos de l’any. En un atac de phishing de marca, els atacants intenten imitar la pàgina web oficial de l’empresa utilitzant el seu nom de domini o una URL i un disseny web similar al de la marca oficial. L’enllaç que porta a la pàgina web falsa sol enviar-se per correu electrònic. El lloc web fals sol tindre un formulari destinat a furtar les credencials, les dades de pagament o una altra informació personal de l’usuari.

En l’últim mes, s’han identificat a Espanya les campanyes de phishing següents:


A manera de resum, facilitarem alguns CONSELLS per a millorar la seguretat dels usuaris enfront del phishing. En aquest sentit, el millor és:

      • Aprendre a identificar quins correus són sospitosos de phishing: Verificant que el nom i imatge de l’empresa és la real; verificant el remitent des del qual es rep el missatge; evitant missatges el ganxo dels quals siga la pèrdua del propi compte, lliurament d’un paquet…
      • No obrir enllaços d’usuaris desconeguts o que no hages sol·licitat: es recomana eliminar-los directament.
      • No utilitzar els enllaços associats a un correu pertanyent presumptament a una entitat legítima: el millor és acudir al navegador i accedir directament al web oficial de l’entitat.
      • No descarregar fitxers adjunts de correus electrònics desconeguts.
      • Tindre un antivirus, sistema operatiu i navegador web actualitzats.
      • No introduir les teues dades en webs que no continguen el protocol https://
      • Davant el mínim dubte, ser prudent i no arriscar-se: Contacta per un altre mitjà amb el remitent i confirma que realment t’ha enviat aqueix missatge, abans de respondre o de fer-los cas.

Segons