phishing

07 Maig, 2020

Privacitat on-line, consells per mantenir les teves dades fora de perill

Els ciberatacs són el pa de cada dia i a hores d'ara ja hi ha molts ciutadans que n'han patit les conseqüències. Entre aquestes s'hi troben les relacionades amb la suplantació d'identitat, una malifeta que sol tenir sempre el mateix origen: el robatori d'informació personal. És a dir, un atac a la privacitat on-line en tota regla. La qüestió és que, amb la crisi del coronavirus, aquesta privacitat on-line està especialment exposada. La raó principal és l'important flux d'informació digital que circula aquests dies, sobretot la relativa a la pandèmia. Vídeos, enllaços, mems... tota mena d'arxius salten de correu en correu i de missatge en missatge. També tota mena d'informació sobre la nostra situació actual en què ens trobem i que publiquem en xarxes socials. Els nostres telèfons mòbils i els nostres ordinadors treuen fum amb la gran quantitat de dades que compartim. Fins al punt que l'Organització Mundial de la Salut (OMS) ha qualificat la situació actual d'“infodèmia”, referint-se a la sobreabundància d'informació que circula. Els ciberdelinqüents saben com aprofitar aquest flux, així com el nostre desig de rebre la màxima informació possible. Per això han trobat l'ocasió perfecta per intentar apoderar-se de les nostres dades. És el primer pas cap a una possible suplantació d'identitat, que pot crear més maldecaps del que sembla.Pot semblar que la suplantació d'identitat és un problema que només afecta els famosos de tant en tant. Això es deu al fet que els seus casos solen ser els més sonats. Cada dos per tres sentim parlar d'alguna personalitat a qui han piratejat el seu perfil en una xarxa social per publicar-hi qualsevol cosa en nom seu. Tanmateix, qualsevol pot ser víctima d'aquesta mena d'activitat fraudulenta. Tal com recorda l'Oficina de Seguretat de l'Internauta (OSI), qualsevol persona que tingui a internet informació personal, com ara nom i cognoms, edat, lloc de naixement o fotografies, i no tingui controlat qui pot accedir a aquestes dades pot ser víctima de suplantació d'identitat. Fins i tot si aquesta informació no està publicada a internet, sempre hi ha un cert risc. Pel que fa als llocs on es desenvolupen les suplantacions d'identitat, solen donar-se en xarxes socials, ja que resulta senzill recopilar-hi informació sobre una persona i fins i tot crear un perfil fals per fer-se passar per ella. De fet, és habitual l'ús de bots que es fan passar per persones reals per promocionar productes i serveis o sembrar la zitzània. També hi ha atacs de phishing que utilitzen malware per infectar els nostres equips i apoderar-se de la nostra informació personal. En aquests atacs, els ciberdelinqüents solen utilitzar tècniques d'enginyeria social per suplantar la identitat d'entitats o persones conegudes per tal d'enganyar les seves víctimes i obtenir les seves dades. I un cop tinguin aquestes dades, intentaran accedir en nom seu a diferents serveis. Els atacs de phishing solen seguir aquest esquema: obrim un correu electrònic o missatge que sembla enviar una persona o entitat de confiança; el missatge sol·licita que s'accedeixi a un web per facilitar-hi informació personal; el web sembla legítim, per la qual cosa facilitem totes les dades sol·licitades, inclosos el nom d'usuari, la contrasenya o el número d'identificació fiscal. A partir d'aquí, els ciberdelinqüents tindran a la seva disposició les dades necessàries per intentar suplantar-nos, per exemple, en les nostres interaccions amb el banc. En aquesta mena d'atacs també són habituals els missatges que ens anuncien que hem guanyat un premi i que hem de proporcionar informació personal per poder-hi accedir. En plena pandèmia de la covid-19, aquesta mena d'atacs s'ha sofisticat i aprofita aquest tema com a ganxo per apoderar-se de dades d'usuaris. Des d'arxius amb suposats consells en vídeo per mantenir-se fora de perill de la malaltia que oculten programa maliciós fins a cibercriminals que es fan passar per l'Organització Mundial de la Salut, tot s'hi val per trencar la privacitat on-line dels internautes.Les circumstàncies especials que vivim actualment exigeixen que siguem més curosos que mai amb la nostra informació personal. Els atacs de suplantació d'identitat no només afecten la víctima de l'estafa, sinó també les persones o organismes pels quals es fan passar els ciberdelinqüents, que es poden veure envoltats en un problema de manera totalment inadvertida. Hi ha algunes mesures que podem prendre per mantenir les nostres dades fora de perill i evitar que tercers puguin contactar amb altres en nom nostre o accedir a diferents serveis on-line fent-se passar per nosaltres. - Fer servir sempre contrasenyes robustes: tant per accedir al perfil de la xarxa social com a les nostres aplicacions bancàries, l'OSI explica que triar una bona contrasenya és fonamental. També ho és gestionar aquestes credencials de manera adequada, sense compartir-les amb ningú, sense fer servir la mateixa per a diversos serveis i fent ús de gestors per recordar-les quan les necessitem. En aquest sentit, CaixaBank ha estat el primer banc del món a utilitzar la identificació biomètrica en les aplicacions pròpies i el reconeixement facial en caixers, que evita haver d'introduir el PIN per fer reintegraments. A més, l'entitat disposa de sistemes robustos per protegir les dades dels seus clients davant dels atacs dels pirates. - Evitar el phishing: el millor per no patir les conseqüències d'un atac de phishing que acabi amb el robatori de la nostra informació és evitar-lo. Per fer-ho, convé fixar-se en els missatges i correus que es reben i estar alerta davant de contactes inesperats o respostes que no s'han sol·licitat. També cal analitzar amb detall els correus, sobretot els que ens demanen que introduïm credencials en un web extern amb qualsevol excusa, i recordar que un banc mai no ens demanarà les nostres dades per correu electrònic, missatge de text o telèfon perquè ja els té. Convé examinar l'adreça electrònica del remitent, no fiar-se de peticions urgents que imposin terminis per modificar claus d'accés i comprovar que els enllaços inclosos siguin legítims. Simplement passant el ratolí per sobre del text de l'enllaç, podrem veure l'adreça web a què dirigeix i comprovar si coincideix, o no, amb la que apunta el contingut del missatge. Que la seva redacció sigui incorrecta també ens ha d'alertar. - Incrementar el grau de privacitat dels nostres perfils: a les xarxes socials, convé configurar els perfils de la manera més privada possible, per tal d'evitar que usuaris desconeguts accedeixin a la nostra informació personal. L'OSI també aconsella assegurar-se de la identitat de qualsevol usuari que ens vulgui agregar com a amic, per evitar així que qualsevol tingui accés a la nostra informació personal, fotos o vídeos. - Revisar la política de privacitat: l'OSI recorda que, si ens fixem en les condicions de servei de les xarxes socials, sabrem l'ús que fan de les nostres dades, el seu tractament i emmagatzematge i si es comparteixen amb tercers. Seguir aquests consells ens ajudarà a preservar la nostra privacitat a internet. Una precaució que, en aquests moments, és més important que mai.

INNOVACIÓ
16 Abril, 2020

Coronavirus i ciberatacs, no abaixis la guàrdia

“En temps de sobreinformació, la creativitat desapareix”. Així definia el neuropsicòleg Andrey Kurpatov alguns dels efectes de la sobrecàrrega d'informació durant l'últim Fòrum Econòmic Mundial de Davos. El que no preveia l'expert és la capacitat dels ciberdelinqüents per idear formes noves d'atacar les seves víctimes. Una creativitat que s'ha disparat enmig de la pandèmia del coronavirus, quan ciutadans i empreses demanen més informació del que és habitual. Aquestes últimes setmanes han començat a proliferar ciberatacs relacionats amb la crisi del coronavirus. El fet cert és que l'escenari és propici per a aquesta mena de delinqüència: el consum d'internet s'ha disparat, amb increments de trànsit pròxims al 40%, igual que el teletreball. L'elevada demanda d'informació sobre la pandèmia per part de ciutadans i professionals ha obert noves oportunitats per als ciberdelinqüents. Mentre que alguns han promès no actuar en certs casos mentre duri la pandèmia, altres han decidit aprofitar la situació per difondre els seus atacs. En qualsevol cas, mai no s'ha d'abaixar la guàrdia davant la possibilitat de ser un dels seus objectius. I menys en una situació tan excepcional com l'actual.Els atacs de segrest d'informació, o ransomware, no han trigat a aparèixer. El que passa és que, aquest cop, ho fan adaptats a la situació actual de pandèmia. És a dir, aprofiten la tirada informativa que té aquests dies la temàtica del coronavirus per accedir als nostres arxius, encriptar-los i sol·licitar després el pagament d'un rescat si els volem recuperar. Si a tot això hi sumen la sobrecàrrega de feina que pateixen els professionals de certs sectors, com els de la sanitat, els ciberdelinqüents troben l'ocasió perfecta per intentar segrestar informació sensible. Aquest va ser precisament el cas d'un enviament de ransomware reportat per la Policia Nacional. Consistia en l'enviament de correus electrònics a personal sanitari de diferents hospitals espanyols relacionats amb la temàtica del coronavirus. Incloïen arxius adjunts amb els quals els ciberdelinqüents pretenien corrompre la informació del centre mèdic per demanar després un rescat. Aquesta mena d'atacs de segrest d'informació també s'han detectat en altres països. Un exemple és el del ransomware que utilitzava el domini coronavirusappsite per assolir el seu objectiu. Contenia un mapa de calor dels Estats Units en què es mostraven els focus de més contagi per captar l'atenció de l'internauta. En concret, aquesta pàgina sol·licitava que es baixés una app mòbil per continuar informat. En fer-ho, s'instal·lava un ransomware anomenat Covidlock, amb el seu consegüent missatge d'infecció i sol·licitud de rescat.La ruptura de la normalitat també deixa exposada la població davant les ciberestafes. Com que en aquests moments cerquem constantment informació relacionada amb el coronavirus, els ciutadans estem més exposats a patir aquesta mena d'enganys. De fet, les xifres d'ús de la temàtica del coronavirus com a ganxo per estendre ciberatacs entre la població s'han disparat el març, coincidint amb la declaració del coronavirus com a pandèmia global. A més, s'ha detectat un increment de fins al 70% de correus amb atacs de phishing que fan ús d'aquesta temàtica per recopilar informació personal de manera fraudulenta. L'FBI mateix alerta sobre una onada sense precedents d'aquesta mena de delictes, en aquest cas relacionats amb la pandèmia. A Espanya, els últims informes del Centre Nacional de Protecció d'Infraestructures i Ciberseguretat (CNPIC, dependent del Ministeri de l'Interior) alerten sobre una quinzena de ciberestafes amb l'esquer del coronavirus. Per perpetrar-les, els delinqüents aprofiten el sentiment de vulnerabilitat que empeny molts ciutadans a cercar informació sobre la pandèmia.Cal tenir en compte que aquestes ciberestafes no arriben exclusivament a través de correus electrònics. També es fan servir aplicacions, webs i fins i tot missatges de text per comprometre la seguretat de les persones i la seva privacitat. Un exemple n'és l'ús de missatges de text per oferir una aplicació que ajuda a aconseguir mascaretes sanitàries. Quan es baixa l'aplicació, s'instal·la un virus que reenvia el missatge a tots els contactes de l'agenda del telèfon infectat. Un altre atac detectat utilitzava un missatge de WhatsApp per suplantar el Ministeri de Sanitat i redirigir a un web de venda de mascaretes. També proliferen estafes amb troians, com el conegut Cerberus, que afecten dispositius Android. Aquest atac té com a objectiu principal el robatori de credencials bancàries o tipus RAT, amb el focus posat en la distribució i el robatori de dades sensibles de la víctima.En un moment en què ens veiem bombardejats constantment per la difusió d'informació per mitjans electrònics, el sentit comú és més necessari que mai. Protegir-nos de ciberestafes en un moment especialment vulnerable com el que vivim ens evitarà més d'un disgust. Algunes recomanacions per mantenir-se fora de perill d'aquesta mena d'atacs són les següents: - Eliminar, sense obrir-los, els correus electrònics sospitosos o amb un origen del qual no tinguem constància. - Evitar les cadenes de missatges, que moltes vegades es fan servir per recopilar dades de contacte, així com els missatges que rebem de coneguts amb enllaços o adjunts i que semblin fora de context o no encaixin en la conversa. - No fer clic ni prémer sobre enllaços dubtosos, ja que ens poden redirigir a webs fraudulents. - Davant del dubte, contrastar sempre amb persones de confiança i fonts oficials qualsevol informació que rebem i ens resulti sospitosa. - Extremar les precaucions en les compres en línia, sobretot les de productes relacionats amb la pandèmia, com mascaretes o guants. - Mantenir actualitzats els sistemes dels dispositius electrònics, inclosos els antivirus. - No facilitar mai claus ni contrasenyes sol·licitades a través de correu electrònic, missatges de text o qualsevol altre canal. - Que un web comenci per https i mostri un cadenat a la barra del navegador no garanteix que sigui segur. De fet, pot tractar-se d'un web fraudulent. Convé fixar-se bé en si l'enllaç es correspon realment amb el del lloc web al qual ens volem connectar. Sempre serà més segur teclejar l'adreça web autèntica a la barra de navegació que accedir-hi des d'un enllaç obtingut d'una altra font. Mantenir a ratlla els ciberatacs no és només un acte de protecció individual. En moments com els actuals, la responsabilitat ciutadana és especialment important, per la qual cosa també s'ha d'evitar al màxim la seva propagació a altres persones. La calma i el sentit comú són, un cop més, les millors eines que tenim al nostre abast per aconseguir-ho.

INNOVACIÓ
30 Desembre, 2019

Smishing, l’enemic impredictible en la missatgeria instantània

L'SPIM (acrònim d’Spam over Instant Messaging) és un missatge no desitjat amb finalitat comercial, normalment maliciosa, que es distribueix a través d'aplicacions de missatgeria instantània, SMS o missatges privats en pàgines web. SPAM i SPIM són molt similars, l'única diferència entre els dos és el mitjà pel qual rebem aquest missatge fraudulent. L'enviament d'SPIM es coneix amb el terme d'smishing, que prové de la unió d'SMS i phishing, una pràctica que engloba tots els fraus que es duen a terme mitjançant sistemes de missatgeria instantània. Amb el desenvolupament de les noves tecnologies i els avenços en la comunicació interpersonal, s'obren noves vies de cibercrim de les quals hem d'estar informats. Termes com phishing o vishing estan a l'ordre del dia pel que fa a ciberatacs. A aquests dos últims, s'hi suma el no tan conegut smishing. Quina característica comuna comparteixen aquests ciberatacs? La suplantació d'identitat.Els ciberdelinqüents, mitjançant programes informàtics automatitzats, rastregen l'agenda d'adreces de l'usuari de les aplicacions de missatgeria instantània. Un cop aconseguida la llista de contactes, el ciberdelinqüent envia un missatge a l'usuari que, depenent de l'aplicació utilitzada, apareixerà en forma de finestra emergent o de text en una conversa. Aquests missatges solen incloure un enllaç a una pàgina web o document, generalment de caràcter fraudulent. L'objectiu és aconseguir que l'usuari faci clic a l'enllaç adjunt al missatge enviat, la qual cosa dona lloc a la descàrrega de malware, que li permetrà accedir al compte i al dispositiu de l'usuari. A diferència de l'SPAM, que podem identificar abans d'obrir-lo i eliminar-lo sense riscos, l'enviament d'SPIM ens pot fer caure en la trampa, ja que apareix durant la conversa amb algun familiar o amic, i aconseguir que fem clic sobre l'enllaç per error en pensar que procedeix de la persona amb la qual conversem.Encara que tots correm el risc de rebre un missatge fraudulent, hi ha una sèrie de recomanacions que podem seguir per detectar si ens trobem davant d'un ciberatac d'smishing: - Si rebem un missatge d'un contacte conegut que està fora de context o que no encaixa en la conversa mantinguda, preguntar-li abans de fer-hi clic. - No fer clic en enllaços o elements adjunts si no estem segurs de la identitat del remitent. - Comprovar la procedència de qualsevol enllaç rebut abans de fer-hi clic. - Configurar adequadament les opcions de privacitat de les aplicacions de missatgeria instantània que utilitzem per evitar que ens arribin missatges de remitents desconeguts. - Mantenir actualitzades tant les aplicacions de missatgeria, com els nostres dispositius. Sens dubte, la informació i la conscienciació són el primer pas per combatre el frau electrònic, que afecta tant particulars com empreses. El nostre consell davant d'aquestes amenaces: doble check abans de fer clic en un enllaç sospitós i, si no ho veus clar, confirmar el missatge per una altra via de contacte.

INNOVACIÓ
19 Agost, 2019

Vishing, cibercrim telefònic

«Li faré una oferta que no podrà rebutjar». Potser els mètodes han canviat des de l'època dels mafiosos de El padrí, però l'objectiu segueix sent el mateix: obtenir els teus diners de manera il·lícita. L'última moda del cibercrim és el vishing, combinació dels termes «veu» (en anglès voice) i phishing, és a dir, la pràctica de suplantar la identitat del nostre banc i robar-nos utilitzant les nostres dades. La diferència amb el segon mètode és el mitjà utilitzat pel vishing per als seus objectius delictius: la veu, tant a través de sistemes telefònics tradicionals com, en el cas més comú, mitjançant veu sobre IP. Sona el telèfon. El número que apareix a l'identificador correspon a la teva zona geogràfica, o potser fins i tot és un número conegut. Despenges el telèfon. A l'altra banda de la línia sona una veu robòtica que assegura que el teu compte bancari ha estat atacat i que, per protegir-lo, has de trucar al número que et faciliten. I cal fer-ho ràpid, perquè si no ho fas, t'arrisques, diu la veu robòtica, a perdre tots els teus diners. En canvi, asseguren que si els proporciones el teu número de compte o de targeta de crèdit et poden ajudar a impedir transaccions fraudulentes amb el teu compte. Aquesta és només una de les estratègies possibles que pot utilitzar el vishing per obtenir els teus diners. Altres possibilitats són reclamar impostos suposadament impagats, dir que has guanyat un premi o un concurs, oferir assistència tècnica per poder accedir al teu ordinador, simular trucar en nom d'algun organisme estatal o d'alguna associació benèfica... L'únic límit és la imaginació dels ciberdelinqüents.Així doncs, què podem fer? Algunes accions que, si bé no eliminen completament el risc de ser víctima del vishing, sí que el redueixen a la seva mínima expressió, són: No contestar trucades de números desconeguts: si qui truca és un estafador, respondre suposa obrir-li les portes, confirmar-li que el número està actiu i deixar-li la via lliure perquè torni a trucar. Si en canvi deixem que salti el contestador, serà més fàcil esbrinar si la trucada és fraudulenta o no. Si contestes, mai donis informació personal: els bancs i organismes oficials mai te la demanaran, perquè ja la tenen. Si et demanen les teves dades privades per telèfon, comença a sospitar. Utilitza una aplicació d'identificació de trucada: les nombroses opcions de veu sobre IP permeten crear molt fàcilment números falsos. Una bona opció seria baixar una aplicació específica d'identificació de trucada, com ara Truecaller, que bloqueja els números que ja s'han confirmat perillosos i permet afegir números nous a la seva base de dades. No obstant això, encara que la tinguem instal·lada, tampoc no ens n'hem de refiar al 100%: si ens truca un número desconegut, el més prudent sempre serà no respondre. I si som víctimes de l'smishing, és a dir, rebem SMS sospitosos, el que cal fer és fàcil: actuar exactament igual que en el cas del vishing. Finalment, si malgrat tot som víctimes d'algun d'aquests cibercrims, abans de recórrer a padrins sempre tenim la possibilitat de denunciar-ho a Internet.

INNOVACIÓ
18 Desembre, 2018

Consells sobre la ciberseguretat a #FinanzasXaFollowers

La banca electrònica, també coneguda com a banca en línia, e-banking o banca virtual, consisteix en la possibilitat de consultar i fer operacions bancàries a través d'Internet. Ofereix molts i grans avantatges: es pot accedir al banc 24 hores al dia, 7 dies a la setmana i suposa un gran estalvi de temps i diners, tant per als clients com per als bancs. A priori, també pot presentar alguns dubtes, com ara la possible sensació d'inseguretat, que podria provocar una certa desconfiança cap a la banca en línia. Per evitar aquestes sensacions, el tercer capítol de “Finances per a followers”, el programa de CaixaBank per impulsar l'educació financera, tracta precisament el tema de la ciberseguretat. Després dels dos primers vídeos de la sèrie, que se centraven en els conceptes de pressupost familiar i inversió, els presentadors Javier Muñiz i Rosa del Blanco compten ara amb la participació de la cantant Marina Jade per donar-nos alguns consells per operar per Internet de manera segura.Amb l'ajuda d'uns aneguets de goma, els presentadors ens expliquen de forma molt gràfica què és el phishing, una tècnica fraudulenta que consisteix a “suplantar la identitat del nostre banc i robar-nos utilitzant les nostres dades”, explica Rosa del Blanco. La paraula és un neologisme que en anglès sona igual que fishing (pescar), ens explica Javier Muñiz, perquè la pràctica més habitual és imitar el web del banc, enviar-nos un correu electrònic en nom seu demanant les nostres dades i, senzillament, esperar que algú piqui. Davant d'això, cal prevenir i aplicar certes normes per protegir-nos. Finances per a followers ens ofereix quatre grans consells: No donis les teves dades a desconeguts. Si no ho fem al carrer, en el món real, tampoc hem d'anar donant les nostres dades en el món virtual. Mantingues actualitzada la teva app bancària. Com més actual sigui la versió de l'aplicació que fas servir al teu telèfon mòbil, més segura serà. I si et connectes al teu banc des de l'ordinador, fes servir sempre un antivirus. Utilitza claus complexes i no habituals. Sempre és millor tenir contrasenyes que combinin majúscules i minúscules, lletres i números, i caràcters especials. Mai no utilitzis claus fàcils d'endevinar, com el teu aniversari, el teu número de DNI o 123456. El teu banc mai no et demanarà les teves dades. Així que, si reps una trucada o un correu electrònic que et sol·liciti les teves dades, no les donis, no contestis i no facis clic en cap enllaç. En efecte, quan ens connectem des del nostre ordinador, sempre serà millor escriure nosaltres mateixos l'adreça del nostre banc en el navegador, sense clicar en enllaços. I també haurem de fixar-nos que l'adreça sigui un URL segur, que comenci per “https”, com per exemple https://www.caixabank.es/index_es.html. Finalment, quan acabem de fer les nostres operacions, cal tancar sempre la sessió. Si seguim aquests consells, operar amb la banca en línia serà igual de segur que anar al banc en persona. “Finances per a followers” tornarà molt aviat amb una nova entrega, i recorda seguir el hashtag #FinanzasXaFollowers i el perfil de CaixaBank a Twitter, @caixabank, per estar informat.

CORPORATIU