Mecanismes de seguretat en les comunicacions electròniques
L'estafador, conegut com phisher, es val de tècniques d'enginyeria social, fent-se passar per una persona o empresa de confiança en una aparent comunicació oficial electrònica, en general un correu electrònic, o algun sistema de missatgeria instantània, xarxes socials SMS/MMS, arran d'un malware o fins i tot utilitzant també trucades telefòniques.
Evita ser víctima de fraus de tipus phishing
MOLT IMPORTANT: Cap banc o administració pública envia per correu electrònic sol·licituds de dades personals dels seus clients. Si reps un correu en aquest sentit, no facilites mai cap dada i contacta immediatament amb ell per a preguntar.
PHISHING
La paraula phishing o suplantació d'identitat, és utilitzada per a referir-se a un dels mètodes més utilitzats pels ciberdelinqüents per a estafar i obtindre informació confidencial de manera fraudulenta com pot ser una clau d'accés o informació detallada sobre targetes de crèdit o una altra informació bancària o administrativa de la víctima.
Per a evitar en la mesura del possible ser víctimes de fraus de tipus phishing, segueix les nostres recomanacions:
- No òbrigues correus d'usuaris desconeguts o que no hages sol·licitat, elimina'ls directament.
- No contestes en cap cas a aquests correus.
- Precaució en seguir enllaços i descarregar fitxers de correus encara que siguen de contactes coneguts.
- Si no hi ha certificat, o si no és del lloc al qual entrem, no facilitarem cap mena d'informació personal: nom d'usuari, claus d'accés, dades bancàries, etc.
NOTA: Per a saber si existeix certificat, la URL ve amb un cadenat:
D'altra banda, cal tindre en compte SEMPRE els consells que faciliten tots els bancs o administracions públiques en la seua secció de seguretat:
- Tanca totes les aplicacions abans d'accedir a la web del banc.
- Escriu directament la URL en el navegador, en lloc d'arribar a través d'enllaços disponibles des de pàgines de tercers o en correus electrònics.
- No accedisques al servei de banca en línia del teu banc des d'ordinadors públics, no fiables o que estiguen connectats en xarxes wifi públiques.
MOLT IMPORTANT: cap banc o administració pública envia per correu electrònic sol·licituds de dades personals dels seus clients. Si reps un correu en aquest sentit, no facilites mai cap dada i contacta immediatament amb ell per a preguntar.
Intenta evitar atacs de phishing
Has d'anar amb compte quan reps un missatge d'un lloc que et demana informació personal. Si reps aquest tipus de missatge, no has de proporcionar la informació que et demana sense confirmar que el lloc és legítim. Si és possible, obri en finestra a part en lloc de fer clic en l'enllaç que apareix en el correu electrònic.
Modifica la clau d'accés de tots aquells serveis en què uses la mateixa i recorda que és molt important gestionar de manera segura les claus d'accés als diferents serveis d'Internet per a evitar problemes.
RANSOMWARE
Un ransomware, o segrest de dades, és un tipus de programa nociu que restringeix l'accés a determinades parts o arxius del sistema operatiu infectat i demana un rescat a canvi de llevar aquesta restricció.
Davant els repetits atacs de ransomware (pèrdua d'arxius per encriptació) que, estan afectant molt negativament a empreses i administracions públiques (SEPE, Ajuntament de Castelló, Ajuntament d'Arenys de Mar, UCLM...), hem de prendre mesures que, bé els dificulten, bé mitiguen els seus efectes. Entre les primers està la precaució de desconfiar per defecte.
És per això que MAI hi ha que obrir cap correu electrònic del qual no coneguem l'origen o és inesperat, i per descomptat, menys encara, obrir fitxers adjunts que puguen acompanyar-los o prémer cap enllaç que ens siga desconegut (cal revisar la URL i que aquesta anotació realment a una entitat que puguem reconéixer, incloent el prefix https://; desconfiar de les direccions (URL) que no pugueu interpretar com a segures).
Respecte al segon, si treballem amb el disc local de l'equip d'escriptori, cal tindre la precaució de disposar d'una còpia (el més sovint possible) d'aquells fitxers en què estem treballant en el disc ‘X:’. En el pitjor dels casos podeu usar el Google Drive o el MS OneDrive corporatiu, ja que aquests tenen un mecanisme intern de control de versions que guarda versions ‘només de lectura’, però són esborrables per l'usuari (així que no tenim garantia en cas de tindre les nostres credencials compromeses). En cas extrem, poder enviar-nos a nosaltres mateixos com a adjunt [no un enllaç] en un acte correu electrònic).
Per al Personal d'Administració i Serveis (PAS) una manera de tindre còpies no tan aparatosa, és usar el servei d'escriptori remot, 'remot.uji.es'.
Encara que molts ja ho heu usat durant el confinament per COVID-19, teniu més detalls de com usar-lo en Connexió a escriptori remot (Win10), ja que les dades no estan en el vostre equip local sinó en un servidor del qual es fa còpia. No obstant això, no és garantia si els atacants, com ha passat en els recents atacs, guanyen accés als servidors, així que sempre cal ser caut.
Per tant,
Per a evitar en la mesura del possible ser víctimes de fraus de tipus ransomware, segueix les nostres recomanacions:
- No obrir cap correu electrònic sospitós d'origen inesperat.
- Realitzar i mantindre copies e seguretat periòdiques de totes les dades importants
- Mantindre el sistema actualitzat amb els últims pegats de seguretat
- Mantindre una primera línia de defensa a través d'algun antimalware, tindre el firewall/tallafocs correctament configurat
- Disposar d'un filtre antispam a nivell del correu electrònic per a evitar la infecció a través de campanyes massives de correus electrònics.
- Utilitzar màquines virtuals del tipus 'remot.uji.es' per a aïllar el sistema principal.
Evita ser víctima de fraus de tipus Ransomware
MOLT IMPORTANT: La Universitat Jaume I MAI sol·licitarà cap dada confidencial, ni usuari/clau d'accés, ni cap mena de dada d'autenticació per correu electrònic o SMS. Recorda comprovar sempre la URL que apareix en la barra de navegació.
Els SMS o correus electrònics fraudulents solen incloure faltes d'ortografia i utilitzen expressions estranyes o poc naturals. SI veus una cosa així, desconfia.
Al terminal mòbil, evita apps fraudulentes, tan sols confia en apps oficials descarregades dels llocs oficials.
SMISHING: SMS + phishing
El smishing és l'ús de mètodes d'engany a través de SMS o missatges de text del mòbil per a aconseguir informació personal de l'usuari i fer un ús fraudulent d'ella. La diferència amb el phishing és el mitjà pel qual es fa l'estafa; en el phishing és principalment a través de correu electrònic i en el smishing es fa amb SMS. No és un fenomen nou, perquè va aparéixer per primera vegada en 2008, però ara s'ha incrementat gràcies a l'ús d'aplicacions de missatgeria com a Whatsapp.
Quines són les formes més habituals del smishing?
Generalment, l'objectiu d'aquests missatges és obtindre informació confidencial, com a claus o dades bancàries, però a vegades també per a vendre productes inexistents o “infectar” el mòbil. Per a aconseguir-ho, envien un SMS a l'usuari amb una promoció irresistible, la possibilitat d'aconseguir un premi o, simplement, un avís d'una empresa de missatgeria o d'una entitat bancària.
Si es punxa en el missatge, l'usuari és dirigit a una pàgina web FRAUDULENTA que, bé imita a l'original per a robar les seues dades bancàries o les seues claus d'accés, bé conté codi maliciós per a instal·lar algun malware, o bé enganya l'usuari perquè s'instal·le una aplicació que recopilarà i enviarà informació confidencial a tercers.
També és habitual l'enviament de missatges que demanen que es telefone a un número de tarifació especial o subscriure's a un servei SMS premium que suposa una despesa addicional prou important.
Com pots evitar el frau?
El Banc d'Espanya dona una sèrie de recomanacions per a evitar caure en el frau del smishing.
Desconfia dels missatges de remitents desconeguts
També d'aquells amb faltes d'ortografia, en anglés o que semblen una mala traducció de l'anglés, així com de les promocions o missatges d'empreses o serveis que no has utilitzat amb anterioritat.
Mai facilites la informació que demana el missatge
Especialment quan es tracta de dades personals o bancàries.
No punxes en els enllaços
Ni descarregues arxius adjunts.
Bloqueja els missatges de text que consideres spam
Així no tornaràs a rebre'ls més.
Verifica el remitent
Moltes vegades suplanten la identitat d'un contacte o empresa coneguda. Si tens dubtes del missatge, fes una cerca ràpida en internet amb el seu contingut per a descobrir si és una estafa o escriu al teu contacte per un altre canal (un correu, una altra app de missatgeria…) o crida-li per a confirmar que el missatge és seu.
Evita guardar sense xifrar claus o informació bancària en el telèfon
Com en un contacte o en l'aplicació de notes.
Personalitza les opcions de seguretat, amb contrasenyes segures i sistemes de doble verificació o factor.
Tant del mòbil com de la banca electrònica.
Recorda que el banc mai et demanarà per SMS que facilites les teues claus d'accés al complet
Ni tampoc les dades completes de la teua targeta.
Què pots fer si eres víctima de smishing?
Si malgrat prendre totes les precaucions creus que has pogut ser víctima d'un missatge fraudulent, el primer que has de fer és posar-te en contacte amb l'entitat financera perquè bloquege l'operació.
En segon lloc, has de modificar la clau d'accés a la banca electrònica i qualsevol altra informació que hages facilitat. I, sobretot, has de denunciar el frau a la Policia Nacional, la Guàrdia Civil o en els jutjats, aportant les proves pertinents.
I recorda, si reps un missatge com a “Felicitats, has sigut premiat amb un cotxe. Per a obtindre el premi envia un SMS a aquest número” o “Estimat client, la seua targeta visa ha sigut bloquejada per la seua seguretat. Per a desbloquejar-la visite aquesta web i complete els passos”, desconfia!
Si tens qualsevol sospita d'haver sigut víctima d'un atac d'aquest tipus (phising o ransomware) no dubtes en posar-te en contacte amb el Centre d'Atenció a l'Usuari (CAU) 964 38 7400 <cau@uji.es> per a notificar-ho.