Acabem de deixar enrere un any que com el seu antecessor ha estat plagat de ciberatacs. A Catalunya, dues grans universitats –la Universitat Autònoma de Barcelona (UAB) i la Universitat Oberta de Catalunya (UOC)– han patit atacs que han paralitzat els seus campus virtuals i s’han exigit rescats a canvi de recuperar les dades. També la cervesera Estrella Damm es va veure obligada a aturar la producció de les seves plantes per un atac informàtic.
L’activitat dels ciberdelinqüents ha estat frenètica dirigint els seus atacs a empreses de totes les grandàries i a tota mena d’usuaris. Aquest panorama fa molt necessària la presa de consciència de la importància que té prevenir un ciberatac, ja que tal com apunta l’informe de Verizon de 2021, el factor humà es troba involucrat en el 85% de les bretxes de seguretat, sent l’enginyeria social el patró que més es repeteix. És a dir, el factor humà té un paper absolutament clau per permetre l’entrada dels ciberdelinqüents als servidors de l’empresa a través de bretxes de seguretat.
Termes com correu escombraries, o spam, suplantació d’identitat o phishing ja són coneguts entre tots. A més, són exemples de com reaccions emocionals dels usuaris poden usar-se malament. El correu escombraries s’envia normalment en correus electrònics, però també es pot lliurar a través de missatges instantanis, SMS i xarxes socials. En el sentit estricte de la paraula, el correu escombraries no és un mètode d’enginyeria social, però pot incloure suplantació d’identitat, phishing d’objectiu definit, la suplantació telefònica del vishing i també mètodes com el smishing, la suplantació per SMS, o divulgació de fitxers adjunts o enllaços malintencionats.
En aquest sentit, ESET España, companyia pionera en antivirus i experta en ciberseguretat, ha preparat una sèrie de consells i informació útil per ajudar al fet que els usuaris i empreses estiguin preparats davant al que anomenem “enginyeria social”, és a dir, el factor humà que es troba involucrat en les bretxes de seguretat.
La suplantació d’identitat, o phishing, és una de les formes d’enginyeria social que s’utilitzen amb més freqüència i que segurament coneix més gent. En aquest cas, el ciberdelinqüent es fa passar per una entitat de confiança que sol·licita informació confidencial de la víctima. Però hi ha molt més que cal vigilar i s’ha d’anar amb compte.
El món de l’enginyeria social és molt variat. Per exemple, ens trobem amb l’scareware, un programari que fa servir diverses tècniques per crear ansietat i forçar les víctimes a instal·lar codi malintencionat en els seus dispositius, per exemple, productes antivirus falsos, la sextorsió que intenta fer xantatge a les víctimes assegurant que tenen informació compromesa, o les estafes d’assistència tècnica, els quals són falsos serveis d’assistència tècnica que s’ofereixen a través de trucades telefòniques o en un frau a la web.
Les empreses treballen diàriament amb internet, que s’ha convertit en una eina essencial. En aquest sentit, ESET revela les principals claus per reconèixer les tècniques d’enginyeria social i evitar convertir-nos en una de les seves víctimes.
L’empresa apunta alguns senyals que ens poden ajudar, com les preguntes: “El text conté errors, mala ortografia i expressa molta urgència?” “Hi ha alguna cosa estranya en l’adreça del remitent?” “És algú a qui no coneixes que et demana informació personal teva o la teva contrasenya?” “Et fa la sensació que el missatge intenta portar-te a actuar sense qüestionar-te res?” “L’oferta que es fa en el correu electrònic és massa bona per ser veritat?”
Per a fer front als perills en la xarxa, la companyia experta en ciberseguretat ofereix diversos suggeriments per anar sempre un pas al davant dels ciberdelinqüents:
Com que les tècniques d’enginyeria social es basen en una baixa conscienciació sobre ciberseguretat en les seves empreses objectives, les formacions periòdiques en ciberseguretat són importants per a tota l’empresa, tant per al personal de TI o d’alta direcció com d’altres departaments. A més a més, les tècniques han anat evolucionant i cada cop són més depurades i costa més distingir la realitat d’una bona còpia. Durant la formació, és crucial que s’intentin incloure situacions de la vida real. Així es poden imaginar situacions concretes i aprendre d’elles. A més, és necessari que els empleats coneguin i entenguin la política de seguretat que segueix l’empresa i saber quins passos cal donar quan s’entra en contacte amb l’enginyeria social.
És imprescindible comptar amb una política de contrasenyes potent. Buscar contrasenyes fortes que compleixin els criteris mínims (usant majúscules i minúscules, números i caràcters especials) i utilitzar una altra capa de seguretat mitjançant la implementació d’una autenticació multifactorial, és a dir, sense un segon dispositiu com un mòbil on es rep un missatge amb un codi, no es pot accedir al compte.
Una altra manera de millorar la seguretat pot ser la implementació de solucions tècniques per erradicar les comunicacions amb estafes. En aquests casos, es poden detectar, posar en quarantena, neutralitzar i eliminar el correu escombraries o els missatges de suplantació d’identitat implementant filtres de correu. Millorar la protecció i usar eines que permetin als administradors de TI tenir visibilitat total i la capacitat de detectar i mitigar amenaces potencials a la xarxa.
