ciberatacs

07 Maig, 2020

Privacitat on-line, consells per mantenir les teves dades fora de perill

Els ciberatacs són el pa de cada dia i a hores d'ara ja hi ha molts ciutadans que n'han patit les conseqüències. Entre aquestes s'hi troben les relacionades amb la suplantació d'identitat, una malifeta que sol tenir sempre el mateix origen: el robatori d'informació personal. És a dir, un atac a la privacitat on-line en tota regla. La qüestió és que, amb la crisi del coronavirus, aquesta privacitat on-line està especialment exposada. La raó principal és l'important flux d'informació digital que circula aquests dies, sobretot la relativa a la pandèmia. Vídeos, enllaços, mems... tota mena d'arxius salten de correu en correu i de missatge en missatge. També tota mena d'informació sobre la nostra situació actual en què ens trobem i que publiquem en xarxes socials. Els nostres telèfons mòbils i els nostres ordinadors treuen fum amb la gran quantitat de dades que compartim. Fins al punt que l'Organització Mundial de la Salut (OMS) ha qualificat la situació actual d'“infodèmia”, referint-se a la sobreabundància d'informació que circula. Els ciberdelinqüents saben com aprofitar aquest flux, així com el nostre desig de rebre la màxima informació possible. Per això han trobat l'ocasió perfecta per intentar apoderar-se de les nostres dades. És el primer pas cap a una possible suplantació d'identitat, que pot crear més maldecaps del que sembla.Pot semblar que la suplantació d'identitat és un problema que només afecta els famosos de tant en tant. Això es deu al fet que els seus casos solen ser els més sonats. Cada dos per tres sentim parlar d'alguna personalitat a qui han piratejat el seu perfil en una xarxa social per publicar-hi qualsevol cosa en nom seu. Tanmateix, qualsevol pot ser víctima d'aquesta mena d'activitat fraudulenta. Tal com recorda l'Oficina de Seguretat de l'Internauta (OSI), qualsevol persona que tingui a internet informació personal, com ara nom i cognoms, edat, lloc de naixement o fotografies, i no tingui controlat qui pot accedir a aquestes dades pot ser víctima de suplantació d'identitat. Fins i tot si aquesta informació no està publicada a internet, sempre hi ha un cert risc. Pel que fa als llocs on es desenvolupen les suplantacions d'identitat, solen donar-se en xarxes socials, ja que resulta senzill recopilar-hi informació sobre una persona i fins i tot crear un perfil fals per fer-se passar per ella. De fet, és habitual l'ús de bots que es fan passar per persones reals per promocionar productes i serveis o sembrar la zitzània. També hi ha atacs de phishing que utilitzen malware per infectar els nostres equips i apoderar-se de la nostra informació personal. En aquests atacs, els ciberdelinqüents solen utilitzar tècniques d'enginyeria social per suplantar la identitat d'entitats o persones conegudes per tal d'enganyar les seves víctimes i obtenir les seves dades. I un cop tinguin aquestes dades, intentaran accedir en nom seu a diferents serveis. Els atacs de phishing solen seguir aquest esquema: obrim un correu electrònic o missatge que sembla enviar una persona o entitat de confiança; el missatge sol·licita que s'accedeixi a un web per facilitar-hi informació personal; el web sembla legítim, per la qual cosa facilitem totes les dades sol·licitades, inclosos el nom d'usuari, la contrasenya o el número d'identificació fiscal. A partir d'aquí, els ciberdelinqüents tindran a la seva disposició les dades necessàries per intentar suplantar-nos, per exemple, en les nostres interaccions amb el banc. En aquesta mena d'atacs també són habituals els missatges que ens anuncien que hem guanyat un premi i que hem de proporcionar informació personal per poder-hi accedir. En plena pandèmia de la covid-19, aquesta mena d'atacs s'ha sofisticat i aprofita aquest tema com a ganxo per apoderar-se de dades d'usuaris. Des d'arxius amb suposats consells en vídeo per mantenir-se fora de perill de la malaltia que oculten programa maliciós fins a cibercriminals que es fan passar per l'Organització Mundial de la Salut, tot s'hi val per trencar la privacitat on-line dels internautes.Les circumstàncies especials que vivim actualment exigeixen que siguem més curosos que mai amb la nostra informació personal. Els atacs de suplantació d'identitat no només afecten la víctima de l'estafa, sinó també les persones o organismes pels quals es fan passar els ciberdelinqüents, que es poden veure envoltats en un problema de manera totalment inadvertida. Hi ha algunes mesures que podem prendre per mantenir les nostres dades fora de perill i evitar que tercers puguin contactar amb altres en nom nostre o accedir a diferents serveis on-line fent-se passar per nosaltres. - Fer servir sempre contrasenyes robustes: tant per accedir al perfil de la xarxa social com a les nostres aplicacions bancàries, l'OSI explica que triar una bona contrasenya és fonamental. També ho és gestionar aquestes credencials de manera adequada, sense compartir-les amb ningú, sense fer servir la mateixa per a diversos serveis i fent ús de gestors per recordar-les quan les necessitem. En aquest sentit, CaixaBank ha estat el primer banc del món a utilitzar la identificació biomètrica en les aplicacions pròpies i el reconeixement facial en caixers, que evita haver d'introduir el PIN per fer reintegraments. A més, l'entitat disposa de sistemes robustos per protegir les dades dels seus clients davant dels atacs dels pirates. - Evitar el phishing: el millor per no patir les conseqüències d'un atac de phishing que acabi amb el robatori de la nostra informació és evitar-lo. Per fer-ho, convé fixar-se en els missatges i correus que es reben i estar alerta davant de contactes inesperats o respostes que no s'han sol·licitat. També cal analitzar amb detall els correus, sobretot els que ens demanen que introduïm credencials en un web extern amb qualsevol excusa, i recordar que un banc mai no ens demanarà les nostres dades per correu electrònic, missatge de text o telèfon perquè ja els té. Convé examinar l'adreça electrònica del remitent, no fiar-se de peticions urgents que imposin terminis per modificar claus d'accés i comprovar que els enllaços inclosos siguin legítims. Simplement passant el ratolí per sobre del text de l'enllaç, podrem veure l'adreça web a què dirigeix i comprovar si coincideix, o no, amb la que apunta el contingut del missatge. Que la seva redacció sigui incorrecta també ens ha d'alertar. - Incrementar el grau de privacitat dels nostres perfils: a les xarxes socials, convé configurar els perfils de la manera més privada possible, per tal d'evitar que usuaris desconeguts accedeixin a la nostra informació personal. L'OSI també aconsella assegurar-se de la identitat de qualsevol usuari que ens vulgui agregar com a amic, per evitar així que qualsevol tingui accés a la nostra informació personal, fotos o vídeos. - Revisar la política de privacitat: l'OSI recorda que, si ens fixem en les condicions de servei de les xarxes socials, sabrem l'ús que fan de les nostres dades, el seu tractament i emmagatzematge i si es comparteixen amb tercers. Seguir aquests consells ens ajudarà a preservar la nostra privacitat a internet. Una precaució que, en aquests moments, és més important que mai.

INNOVACIÓ
16 Abril, 2020

Coronavirus i ciberatacs, no abaixis la guàrdia

“En temps de sobreinformació, la creativitat desapareix”. Així definia el neuropsicòleg Andrey Kurpatov alguns dels efectes de la sobrecàrrega d'informació durant l'últim Fòrum Econòmic Mundial de Davos. El que no preveia l'expert és la capacitat dels ciberdelinqüents per idear formes noves d'atacar les seves víctimes. Una creativitat que s'ha disparat enmig de la pandèmia del coronavirus, quan ciutadans i empreses demanen més informació del que és habitual. Aquestes últimes setmanes han començat a proliferar ciberatacs relacionats amb la crisi del coronavirus. El fet cert és que l'escenari és propici per a aquesta mena de delinqüència: el consum d'internet s'ha disparat, amb increments de trànsit pròxims al 40%, igual que el teletreball. L'elevada demanda d'informació sobre la pandèmia per part de ciutadans i professionals ha obert noves oportunitats per als ciberdelinqüents. Mentre que alguns han promès no actuar en certs casos mentre duri la pandèmia, altres han decidit aprofitar la situació per difondre els seus atacs. En qualsevol cas, mai no s'ha d'abaixar la guàrdia davant la possibilitat de ser un dels seus objectius. I menys en una situació tan excepcional com l'actual.Els atacs de segrest d'informació, o ransomware, no han trigat a aparèixer. El que passa és que, aquest cop, ho fan adaptats a la situació actual de pandèmia. És a dir, aprofiten la tirada informativa que té aquests dies la temàtica del coronavirus per accedir als nostres arxius, encriptar-los i sol·licitar després el pagament d'un rescat si els volem recuperar. Si a tot això hi sumen la sobrecàrrega de feina que pateixen els professionals de certs sectors, com els de la sanitat, els ciberdelinqüents troben l'ocasió perfecta per intentar segrestar informació sensible. Aquest va ser precisament el cas d'un enviament de ransomware reportat per la Policia Nacional. Consistia en l'enviament de correus electrònics a personal sanitari de diferents hospitals espanyols relacionats amb la temàtica del coronavirus. Incloïen arxius adjunts amb els quals els ciberdelinqüents pretenien corrompre la informació del centre mèdic per demanar després un rescat. Aquesta mena d'atacs de segrest d'informació també s'han detectat en altres països. Un exemple és el del ransomware que utilitzava el domini coronavirusappsite per assolir el seu objectiu. Contenia un mapa de calor dels Estats Units en què es mostraven els focus de més contagi per captar l'atenció de l'internauta. En concret, aquesta pàgina sol·licitava que es baixés una app mòbil per continuar informat. En fer-ho, s'instal·lava un ransomware anomenat Covidlock, amb el seu consegüent missatge d'infecció i sol·licitud de rescat.La ruptura de la normalitat també deixa exposada la població davant les ciberestafes. Com que en aquests moments cerquem constantment informació relacionada amb el coronavirus, els ciutadans estem més exposats a patir aquesta mena d'enganys. De fet, les xifres d'ús de la temàtica del coronavirus com a ganxo per estendre ciberatacs entre la població s'han disparat el març, coincidint amb la declaració del coronavirus com a pandèmia global. A més, s'ha detectat un increment de fins al 70% de correus amb atacs de phishing que fan ús d'aquesta temàtica per recopilar informació personal de manera fraudulenta. L'FBI mateix alerta sobre una onada sense precedents d'aquesta mena de delictes, en aquest cas relacionats amb la pandèmia. A Espanya, els últims informes del Centre Nacional de Protecció d'Infraestructures i Ciberseguretat (CNPIC, dependent del Ministeri de l'Interior) alerten sobre una quinzena de ciberestafes amb l'esquer del coronavirus. Per perpetrar-les, els delinqüents aprofiten el sentiment de vulnerabilitat que empeny molts ciutadans a cercar informació sobre la pandèmia.Cal tenir en compte que aquestes ciberestafes no arriben exclusivament a través de correus electrònics. També es fan servir aplicacions, webs i fins i tot missatges de text per comprometre la seguretat de les persones i la seva privacitat. Un exemple n'és l'ús de missatges de text per oferir una aplicació que ajuda a aconseguir mascaretes sanitàries. Quan es baixa l'aplicació, s'instal·la un virus que reenvia el missatge a tots els contactes de l'agenda del telèfon infectat. Un altre atac detectat utilitzava un missatge de WhatsApp per suplantar el Ministeri de Sanitat i redirigir a un web de venda de mascaretes. També proliferen estafes amb troians, com el conegut Cerberus, que afecten dispositius Android. Aquest atac té com a objectiu principal el robatori de credencials bancàries o tipus RAT, amb el focus posat en la distribució i el robatori de dades sensibles de la víctima.En un moment en què ens veiem bombardejats constantment per la difusió d'informació per mitjans electrònics, el sentit comú és més necessari que mai. Protegir-nos de ciberestafes en un moment especialment vulnerable com el que vivim ens evitarà més d'un disgust. Algunes recomanacions per mantenir-se fora de perill d'aquesta mena d'atacs són les següents: - Eliminar, sense obrir-los, els correus electrònics sospitosos o amb un origen del qual no tinguem constància. - Evitar les cadenes de missatges, que moltes vegades es fan servir per recopilar dades de contacte, així com els missatges que rebem de coneguts amb enllaços o adjunts i que semblin fora de context o no encaixin en la conversa. - No fer clic ni prémer sobre enllaços dubtosos, ja que ens poden redirigir a webs fraudulents. - Davant del dubte, contrastar sempre amb persones de confiança i fonts oficials qualsevol informació que rebem i ens resulti sospitosa. - Extremar les precaucions en les compres en línia, sobretot les de productes relacionats amb la pandèmia, com mascaretes o guants. - Mantenir actualitzats els sistemes dels dispositius electrònics, inclosos els antivirus. - No facilitar mai claus ni contrasenyes sol·licitades a través de correu electrònic, missatges de text o qualsevol altre canal. - Que un web comenci per https i mostri un cadenat a la barra del navegador no garanteix que sigui segur. De fet, pot tractar-se d'un web fraudulent. Convé fixar-se bé en si l'enllaç es correspon realment amb el del lloc web al qual ens volem connectar. Sempre serà més segur teclejar l'adreça web autèntica a la barra de navegació que accedir-hi des d'un enllaç obtingut d'una altra font. Mantenir a ratlla els ciberatacs no és només un acte de protecció individual. En moments com els actuals, la responsabilitat ciutadana és especialment important, per la qual cosa també s'ha d'evitar al màxim la seva propagació a altres persones. La calma i el sentit comú són, un cop més, les millors eines que tenim al nostre abast per aconseguir-ho.

INNOVACIÓ
30 Desembre, 2019

Smishing, l’enemic impredictible en la missatgeria instantània

L'SPIM (acrònim d’Spam over Instant Messaging) és un missatge no desitjat amb finalitat comercial, normalment maliciosa, que es distribueix a través d'aplicacions de missatgeria instantània, SMS o missatges privats en pàgines web. SPAM i SPIM són molt similars, l'única diferència entre els dos és el mitjà pel qual rebem aquest missatge fraudulent. L'enviament d'SPIM es coneix amb el terme d'smishing, que prové de la unió d'SMS i phishing, una pràctica que engloba tots els fraus que es duen a terme mitjançant sistemes de missatgeria instantània. Amb el desenvolupament de les noves tecnologies i els avenços en la comunicació interpersonal, s'obren noves vies de cibercrim de les quals hem d'estar informats. Termes com phishing o vishing estan a l'ordre del dia pel que fa a ciberatacs. A aquests dos últims, s'hi suma el no tan conegut smishing. Quina característica comuna comparteixen aquests ciberatacs? La suplantació d'identitat.Els ciberdelinqüents, mitjançant programes informàtics automatitzats, rastregen l'agenda d'adreces de l'usuari de les aplicacions de missatgeria instantània. Un cop aconseguida la llista de contactes, el ciberdelinqüent envia un missatge a l'usuari que, depenent de l'aplicació utilitzada, apareixerà en forma de finestra emergent o de text en una conversa. Aquests missatges solen incloure un enllaç a una pàgina web o document, generalment de caràcter fraudulent. L'objectiu és aconseguir que l'usuari faci clic a l'enllaç adjunt al missatge enviat, la qual cosa dona lloc a la descàrrega de malware, que li permetrà accedir al compte i al dispositiu de l'usuari. A diferència de l'SPAM, que podem identificar abans d'obrir-lo i eliminar-lo sense riscos, l'enviament d'SPIM ens pot fer caure en la trampa, ja que apareix durant la conversa amb algun familiar o amic, i aconseguir que fem clic sobre l'enllaç per error en pensar que procedeix de la persona amb la qual conversem.Encara que tots correm el risc de rebre un missatge fraudulent, hi ha una sèrie de recomanacions que podem seguir per detectar si ens trobem davant d'un ciberatac d'smishing: - Si rebem un missatge d'un contacte conegut que està fora de context o que no encaixa en la conversa mantinguda, preguntar-li abans de fer-hi clic. - No fer clic en enllaços o elements adjunts si no estem segurs de la identitat del remitent. - Comprovar la procedència de qualsevol enllaç rebut abans de fer-hi clic. - Configurar adequadament les opcions de privacitat de les aplicacions de missatgeria instantània que utilitzem per evitar que ens arribin missatges de remitents desconeguts. - Mantenir actualitzades tant les aplicacions de missatgeria, com els nostres dispositius. Sens dubte, la informació i la conscienciació són el primer pas per combatre el frau electrònic, que afecta tant particulars com empreses. El nostre consell davant d'aquestes amenaces: doble check abans de fer clic en un enllaç sospitós i, si no ho veus clar, confirmar el missatge per una altra via de contacte.

INNOVACIÓ
29 Novembre, 2019

Frau electrònic: com protegir-te de l’últim en ciberestafes

El frau electrònic és terreny fèrtil per a la creativitat. Tant per a la dels ciberdelinqüents com per a la dels equips de seguretat que intenten minimitzar els seus atacs i, fins i tot, preveure les seves properes jugades. De fet, aquest tipus de problemes ja s'ha convertit en el primer risc global per a les empreses, juntament amb la pèrdua de beneficis. La seva imprevisibilitat i la velocitat a què evolucionen hi tenen molt a veure. També els ciutadans són víctimes del frau electrònic. Aquest mateix any es va desarticular a Espanya una trama de 45 ciberdelinqüents que havien aconseguit estafar prop de 900.000 euros a unes 2.400 víctimes. Cada 24 hores s'envien al món uns 6.400 milions de correus electrònics falsos, fraudulents o perillosos. D'aquests, bona part correspon a l'omnipresent amenaça del phishing, que consisteix a suplantar la identitat d'una persona o d'una companyia per obtenir informació personal i bancària dels usuaris. Per combatre aquest tipus d'amenaces, la conscienciació és essencial. Per aquest motiu, convé estar al dia de les últimes tendències en ciberestafes, que afecten tant empreses com particulars. El frau del CEO, el frau de factures o el romance scam són alguns exemples de les últimes modalitats utilitzades pels cibercriminals.Hi ha alguna manera millor de persuadir un empleat que fent-se passar pel seu cap? Ho hem vist en centenars de pel·lícules, així que només era qüestió de temps que els ciberdelinqüents també s'hi posessin. De fet, la suplantació d'identitat se sol donar en el món empresarial per obtenir diners o informació confidencial, entre altres motius. Afegir eines en línia a l'equació és una evolució lògica d'aquest frau. Com a resultat de tot això, va sorgir una de les principals amenaces en línia que més fan anar de corcoll les forces de seguretat. El frau del CEO consisteix, bàsicament, en un delinqüent que es fa passar per un alt càrrec d'una empresa per desviar fons de manera fraudulenta. En concret, l'estafador comença per estudiar les víctimes i recull informació sobre l'empresa. Un cop coneix l'organigrama i les operacions habituals de la companyia, suplanta la identitat del CEO o d'un alt càrrec de l'organització. Per fer-ho, normalment pirateja el seu compte de correu electrònic o, fins i tot, crea una adreça falsa. Posteriorment, envia correus electrònics o truca per telèfon per sol·licitar la transacció d'un pagament extraordinari, per exemple, per a la compra d'una empresa estrangera. Sempre demanen que tot es faci de manera urgent i confidencial, perquè així la víctima desisteixi de verificar l'operació. Al final, l'empleat enganyat fa els pagaments als comptes que controla l'estafador. Per prevenir aquest tipus d'atacs, convé prendre una sèrie de mesures. Hem de confirmar la legitimitat de l'operació per una altra via de comunicació. Per exemple, si ens han fet la petició per correu electrònic, és millor trucar per telèfon per confirmar-ne la veracitat. La prudència a l'hora de difondre informació en xarxes socials sobre la teva empresa i el teu càrrec també és recomanable, ja que els delinqüents aprofitaran tot el que tinguin a mà per suplantar la identitat. Si no has pogut evitar que es produeixi el frau, informa'n urgentment la teva sucursal bancària i denúncia els fets a la policia per minimitzar els danys. No esborris els correus electrònics, els registres telefònics ni la documentació que hagin aportat els estafadors, perquè són proves que podràs presentar en una investigació.En el cas del frau de factures, la identitat que se suplanta és la d'un proveïdor o un empleat per desviar cobraments. En aquest cas, els delinqüents estudien les relacions de les empreses amb els seus proveïdors, inclosos els pagaments regulars que fan. Amb aquesta informació, es posen en contacte amb l'empresa per sol·licitar-li que, d'ara endavant, faci els pagaments a un nou número de compte bancari fraudulent. El frau només es descobrirà quan el proveïdor legítim reclami l'impagament de les factures que l'empresa ha abonat, en realitat, als estafadors. Davant una petició de canvi de número de compte d'un proveïdor, també és convenient confirmar amb ell l'operació per una altra via de comunicació, per exemple trucant-li per telèfon. Observar amb atenció les factures rebudes per advertir si hi ha algun canvi, i fins i tot eliminar la informació sobre clients o proveïdors, pot ajudar també a evitar aquests problemes.L'ús de mitjans digitals per fer noves amistats o fins i tot trobar l'amor és d'allò més habitual. Són molt útils per trobar persones amb interessos similars i, a més, el seu ús és molt senzill. Això sí, en aquest tipus d'aplicacions hi ha alguns perfils falsos que enganyen els usuaris de diverses maneres. Per exemple, aconseguint que facin pagaments o comprometin la seva privacitat amb excuses falses o mitjançant extorsió. En el cas del romance scam, els estafadors recullen informació de perfils oberts d'altres persones en xarxes socials, cosa que els permet muntar una història convincent. A partir d'aquí, creen perfils falsos, que poden ser tant masculins com femenins, en funció de la víctima, i hi estableixen relació per, després, convidar-la a continuar el contacte fora del web. Solen enviar imatges per demostrar que es tracta de persones reals, tot i que generalment són imatges robades a altres usuaris reals o imatges d'arxiu que troben per internet. Amb les dades que obté el delinqüent de les converses amb la seva víctima, es guanya la seva confiança i la sotmet a diferents tipus de frau. Per exemple, li demana diners per pagar l'avió o l'hotel per anar a visitar la víctima, entre altres excuses. Fins i tot s'arriben a simular segrestos exprés perquè la víctima pagui el rescat. També són habituals les amenaces de publicació d'imatges íntimes que la víctima pugui haver compartit per obtenir els seus diners. El sentit comú sol ser la millor mesura per prevenir aquests atacs, ja que convé desconfiar de les històries que sonen massa bé per ser veritat. La prevenció, el sentit comú i la responsabilitat en l'ús dels nous mitjans digitals són el primer pas per evitar el frau. També per anticipar-se a qualsevol ocurrència que els ciberdelinqüents puguin tenir en el futur. Per això és tan necessari promoure'ls.

INNOVACIÓ