La Generalitat ha llançat una sèrie de recomanacions amb la finalitat de recordar a les entitats, tant públiques com privades, quines accions poden dur a terme per a evitar que fructifiquen els intents d’estada per Internet, coneguts com a frau al CEO.
El director general de Tecnologies de la Informació i les Comunicacions, Sr. José Manuel García Duarte, ha assegurat que «davant la informació coneguda aquests últims dies sobre l’intent d’estafa que ha patit la Corporació Valenciana de Mitjans de Comunicació, considerem de vital importància conscienciar les organitzacions sobre les accions que han de dur a terme per a evitar que aquest tipus d’estafes fructifiquen».
«És primordial -ha continuat- conscienciar els empleats i empleades, així com els directius d’empreses i qualsevol altre tipus d’organització del sector públic i privat, perquè sàpien com actuar davant qualsevol correu electrònic (CEL) o contacte sospitós, utilitzant mitjans electrònics».
García Duarte ha explicat que, en aquest cas, les bones pràctiques en seguretat de la CVMC (Corporació Valenciana de Mitjans de Comunicació), han permés una detecció primerenca i la seua comunicació al Centre de Seguretat TIC de la Comunitat Valenciana (CSIRT-CV).
Segons el CSIRT-CV, els i les atacants podrien haver obtingut els comptes de correu suplantats a través de la plataforma de contractació de l’Estat.
Per aquesta raó, García Duarte ha cridat l’atenció sobre la gran quantitat de dades que es publiquen en els plecs de contractació de les organitzacions, i ha recordat que és important «no donar més dades de les necessàries en aquesta mena de documentació i plataformes, ja que no sabem qui podria estar llegint-ho, i a qui més li podria interessar per a finalitats il·lícites com la sostracció econòmica».
El director general assegura que l’intent de frau no ha tingut èxit, però aprofita l’ocasió per a «exhortar els responsables de les organitzacions a actuar i divulgar les recomanacions que emet CSIRT-CV, entre els seus empleats i empleades».
Recomanacions davant incidents facilitats
Des de CSIRT-CV es recorda que existeixen diversos tipus d’atacs, uns amb major component tecnològic (troians, virus, ‘ransomware’, atacs de denegació de serveis, etc.) i uns altres, incidents facilitats per la tecnologia, en què els ciberdelinqüents s’aprofiten de l’anonimat i el major accés als usuaris que ofereix Internet per a cometre fraus o estafes tradicionals, només que, ara, emprant mitjans tecnològics com el correu electrònic. Entre aquests últims, es troba el frau al CEO.
Els «fraus al CEO» consisteixen a fer arribar un correu a un empleat que tinga capacitat per a fer transferències o accés a dades de comptes, suposadament remés per un superior (ja siga el seu CEO, president o director de l’empresa), urgint-lo a realitzar una transferència per a alguna operació financera que sol titllar-se de confidencial i urgent.
Les campanyes més sofisticades, solen vindre precedides d’una fase d’investigació, en la qual l’atacant recapta informació sobre l’estructura orgànica i funcional de l’empresa o organisme a atacar, amb la finalitat de dirigir-se a la persona adequada. Aquesta investigació sol usar fonts públiques de dades per a obtindre la informació, raó per la qual és fonamental limitar les dades que es publiquen per qualsevol mitjà.
CSIRT-CV recomana que, una vegada es detecte un tipus de correu electrònic d’aquest tipus, cal bloquejar el remitent en els servidors de correu per a evitar rebre futurs correus, i comprovar que no se n’han rebut més en comptes d’altres usuaris.
A més, els usuaris han d’evitar prémer en qualsevol enllaç present en el CEL, així com obrir documents de procedència incerta i, sobretot, mai s’ha d’enviar les credencials d’accés (usuari i contrasenya) mitjançant correu electrònic a ningú.
D’altra banda, CSIRT-CV recomana guardar un registre dels correus enviats i rebuts, per si es requerira fer una investigació posteriorment, i mantindre una política de contrasenyes robustes entre els empleats i empleades de l’organització.
Des del Centre de Seguretat TIC de la Comunitat Valenciana, es posa l’accent en la conscienciació als usuaris, ja que el punt crític en aquesta mena de fraus és l’operació de canvi de compte bancari, que habitualment se sol fer de dues formes: mitjançant un correu electrònic que indique que un proveïdor, per exemple, ha canviat de compte bancari; o mitjançant l’enviament d’una factura amb un nou compte.
En aquesta situació, es recorda que la millor defensa és la procedimental: definir una base de dades amb els comptes autoritzats i que, cada vegada que es realitzarà un pagament, es compare cada compte amb la informació que es té en la base de dades, no realitzant el pagament si no són coincidents.
A més, cal prestar molta atenció a les propostes de canvi de compte i, si es necessita realitzar una crida de verificació des de zero, mai s’ha de telefonar a cap número que figure en cap CEL, sinó el que tinguem en la nostra base de dades o el que figure en la pàgina web oficial de l’entitat a la qual suposadament s’intenta suplantar.
També es recomana establir una estructura de doble signatura per als imports que superen certa quantitat, ja que sempre resultarà més difícil que fructifique un engany a dues persones que només a una.
Aquest procediment ha de ser d’obligat compliment per a tots els membres de l’organització, ja que en molts casos l’objectiu a suplantar és un alt càrrec de l’organització que podria tindre potestat per a saltar-se les restriccions de seguretat o els procediments.
CSIRT-CV és un centre, dependent de la Direcció General de Tecnologies de la Informació i les Comunicacions (DGTIC), que s’ha consolidat com a peça indispensable per a la seguretat corporativa de la Generalitat i per a la conscienciació en ciberseguretat en la societat valenciana.
Des de la seua posada en marxa, publica informació sobre seguretat en la seua pàgina web (consulteu ací, incloent-hi cursos de formació, així com avisos i consells en les seues xarxes socials Facebook (http://www.facebook.com/csirtcv) i Twitter (twitter.com/csirtcv), i en el portal de conscienciació en ciberseguretat concienciaT (concienciat.gva.es).
L’activitat de CSIRT-CV està cofinançada per la Unió Europea, a través del Programa Operatiu del Fons Europeu de Desenvolupament Regional (Feder) de la Comunitat Valenciana 2014-2020.
- El Centre de Seguretat TIC de la Comunitat Valenciana recorda que aquest tipus de frau és una estafa tradicional, només que ara els delinqüents utilitzen Internet.
- La principal recomanació és conscienciar els empleats i empleades sobre les tècniques usades per ciberdelinqüents, per a furtar dades i accedir a informació sensible amb un fi il·lícit.