Un altre mes tornem amb un nou butlletí, en el qual tractarem els riscos derivats del phishing i la necessitat d’augmentar la nostra conscienciació sobre aquest tema.
El correu electrònic s’ha convertit en una eina imprescindible en el dia a dia professional i personal. Les males pràctiques o la falta d’atenció poden donar lloc al fet que el correu siga furonejat, o es convertisca en un porta d’entrada de malware a l’ordinador. El correu electrònic és un servei en el qual pràcticament ho tenim tot: comunicacions de clients, arxius adjunts, dades d’autenticació, documents privats i informació sensible, informació confidencial de l’empresa…
En aquest sentit, la formació i conscienciació en matèria de ciberseguretat es converteix en un pilar fonamental. És important tindre en compte que més del 99% dels atacs depenen de la interacció humana per a activar-se, i el correu electrònic és el vector d’amenaça més usat. Així mateix, la major amenaça per a l’usuari mitjà és el famós phishing. A través d’aquesta amenaça, els ciberdelinqüents envien missatges suplantant la identitat de fonts fiables (institucions financeres, empreses com Zara o Amazon…), amb l’objectiu de sol·licitar i obtindre informació personal o bancària.
Segons l’informe anual 2020-2021 de l’Associació Espanyola d’Empreses contra el Frau, AEECF, a Espanya s’han incrementat les estafes un 47% aproximadament, amb un especial protagonisme del phishing. La suplantació d’identitat (58%) i els atacs de phishing (27%) són els tipus de frau més comuns. A nivell corporatiu, el 42% dels enquestats estableix l’import mitjà defraudat entre 1.000 i 5.000 euros, mentre que el 21% el situa per damunt dels 50.000 euros. Així mateix, les comunitats autònomes més afectades han sigut Catalunya (35%), Andalusia (25%), València i Madrid (10%).
D’altra banda, tal com afirma l’estudi State of the Phish 2022, elaborat per Proffpoint, el 86% de les empreses enquestades van patir atacs de phishing durant 2021, i un 80% confirma que els incidents van tindre conseqüències. Aquestes xifres suposen un cost mitjà de més de 1.422 euros per empleat.
Referent a això, LinkedIn (52%), DHL (14%) i Google (7%), són les marques amb més intents de suplantació registrats en els tres primers mesos de l’any. En un atac de phishing de marca, els atacants intenten imitar la pàgina web oficial de l’empresa utilitzant el seu nom de domini o una URL i un disseny web similar al de la marca oficial. L’enllaç que porta a la pàgina web falsa sol enviar-se per correu electrònic. El lloc web fals sol tindre un formulari destinat a furtar les credencials, les dades de pagament o una altra informació personal de l’usuari.
En l’últim mes, s’han identificat a Espanya les campanyes de phishing següents:
-
-
- La Guàrdia Civil ha informat d’una nova campanya en què els ciberdelinqüents es fan passar per la Direcció General de Trànsit. Els criminals envien un correu electrònic advertint els usuaris amb el text següent “Tens una multa pendent. S’ha identificat en el nostre sistema una multa de trànsit no pagada”. Arran dels casos observats, es pot perdre entre 500 i 3.000 euros.
-
-
-
- L’Associació Espanyola d’Empreses contra el Frau (AEECF) adverteix d’atacs massius de phishing durant la campanya de la renda de 2021. S’ha identificat una campanya de malspam que utilitza com a argument irregularitats en el pagament dels impostos. Els criminals envien missatges a dispositius Windows i Android, que alerten de quantitats pendents de pagar. Aquests missatges contenen el troià LokiPWS, capaç de furtar dades d’usuari, contrasenyes, informació de moneders de criptodivises…
-
-
-
- INCIBE ha detectat una campanya de phishing que suplanta Correus. La campanya té com a pretext el lliurament d’un paquet, previ pagament d’una quantitat de diners, fent clic en l’enllaç facilitat en el correu.
-
A manera de resum, facilitarem alguns CONSELLS per a millorar la seguretat dels usuaris enfront del phishing. En aquest sentit, el millor és:
-
-
- Aprendre a identificar quins correus són sospitosos de phishing: Verificant que el nom i imatge de l’empresa és la real; verificant el remitent des del qual es rep el missatge; evitant missatges el ganxo dels quals siga la pèrdua del propi compte, lliurament d’un paquet…
-
-
-
- No obrir enllaços d’usuaris desconeguts o que no hages sol·licitat: es recomana eliminar-los directament.
-
-
-
- No utilitzar els enllaços associats a un correu pertanyent presumptament a una entitat legítima: el millor és acudir al navegador i accedir directament al web oficial de l’entitat.
-
-
-
- No descarregar fitxers adjunts de correus electrònics desconeguts.
-
-
-
- Tindre un antivirus, sistema operatiu i navegador web actualitzats.
-
-
-
- No introduir les teues dades en webs que no continguen el protocol https://
-
-
-
- Davant el mínim dubte, ser prudent i no arriscar-se: Contacta per un altre mitjà amb el remitent i confirma que realment t’ha enviat aqueix missatge, abans de respondre o de fer-los cas.
-
Segons