L’article d’avui és diferent. La història que llegiràs és real, i el protagonista podries ser tu, jo o qualsevol usuari que utilitza el seu correu electrònic.
La nostra protagonista es diu Marta, i per desgràcia, ha perdut 6000€ en ser víctima d’un atac de phishing. Abans d’explicar-te la història, deixa’m explicar-te de manera molt senzilla què és i com actua aquest parany cibernètic.
Què és un atac de pesca phishing?
La paraula phishing deriva de la paraula anglesa fishing que significa pescar. El terme en aquest cas no es refereix a la pesca de peixos, sinó de dades personals molt sensibles. Per exemple, els números de compte bancari, targetes de crèdit i contrasenyes. Aquest tipus d’atacs són molt freqüents a petites i mitjanes empreses. El procediment és senzill i es poden donar dos escenaris d’entrada:
- Rebem un correu electrònic demanant-nos fer una acció. Si ho fem, ens «pesquen» les dades.
- La web corporativa és atacada i és utilitzada com a base per enviar e-mails de pesca als nostres clients. Si ho aconsegueixen, la teva web es converteix en la “canya” del pescador.
Si portes uns anys a internet, et sonarà la mítica estafa del príncep nigerià…
El Príncep Nigerià t'ha deixat en herència 200.000 dòlars. Per cobrar-la hauràs de fer una aportació de 300 dòlars per cobrir les despeses d'enviament i traspàs
A hores d’ara, poques persones caurien en aquest tipus de parany. Però la que us explicarem tot seguit està molt més elaborada.
Perdre 6000€ és més fàcil del que penses
Marta és la gerent d´una petita empresa a la ciutat de Girona. Com que és una estructura familiar, ella mateixa és qui realitza els pagaments a clients i proveïdors. D’aquesta manera, en tot moment té el control de la tresoreria. És una tasca delicada i prefereix fer-ho ella mateixa.
Un dia, rep un correu del vostre proveïdor de correu electrònic (Gmail, Hotmail o similar) dient-li que la contrasenya havia estat exposada públicament, i que hauria de canviar immediatament per garantir la seva seguretat. El correu tenia tota l’estètica d’un correu electrònic oficial (logotips, tipus de lletra, forma del missatge, color dels botons…) i es va fiar. Va fer clic i va canviar la contrasenya.
A hores d’ara, el hacker ja té la contrasenya de correu electrònic i accedeix a la safata d’entrada amb total llibertat.
Després dinvestigar, detecta un correu electrònic legítim pendent per llegir dun proveïdor. Aquest us sol·licita el pagament de 6000€, i el mateix e-mail, us indica el número de compte on fer la transferència. Aquesta situació és habitual en moltes pimes, però…
Què fa el hacker?
Obre el correu del proveïdor, l’edita i modifica el número de compte. El col·loqueu de nou a la safata d’entrada i el marqueu com a «no llegit».
L’endemà, la Marta accedeix al correu i comença a contestar els correus pendents. Entre ells, hi ha el pagament de 6000€ a Juan, que és l’amo de l’empresa de transports que envia els productes als clients de Marta. La factura és el pagament mensual del vostre servei. I ara ve la seqüència i el desenllaç final de la història:
- Marta fa la transferència amb total normalitat, però l’endemà…
- Juan li escriu reclamant (de nou) el pagament.
- Ella confirma que està processat, però ell no ha rebut res.
- En comprovar els números de compte… sorpresa, no coincideixen.
Marta ha enviat 6000€ al número de compte del hacker de manera voluntària, cosa que complica molt la seva recuperació.
Detectada l’estafa, la Marta ens avisa i ens explica el que ha passat. Us indiquem que
El pas següent és notificar la incidència al banc ia la policia.
Com podem detectar un atac de phishing?
Tot i que Marta disposava d’un antivirus legal i actualitzat, aquest no va detectar la fraudulència del correu electrònic.
Aquest és un dels motius pels quals a iMàtica insistim tant en com és d’important formar l’equip en matèria de ciberseguretat. Una plantilla que disposa de coneixements bàsics de seguretat podrà detectar-la a temps i evitar atacs d’aquesta índole.
Veurem el decàleg de bones pràctiques per detectar una estafa digital:
1. Antivirus instal·lat i actualitzat
Que disposi del mòdul d’antiphising per a correu electrònic i pàgines web.
2. Sistema operatiu legal i actualitzat
La manca d’actualitzacions són forats d’entrada per a tota mena d’atacs.
3. Activa la verificació de dos passos
Sempre que sigui possible en tots els teus serveis en línia. És una de les millors maneres per prevenir la intrusió aliena al teu correu.
4. Adopta una actitud de desconfiança
Abans de res missatge que et demani contrasenyes o dades bancàries (sovint amb urgència o comptes enrere). Molts provenen de grans i coneguts serveis de compra o pagaments en línia com eBay, PayPal, Amazon o entitats bancàries. Aquests solen ser els grans preferits dels atacants…
5. No feu clic als enllaços
Sense abans situar el ratolí a sobre i veure la URL exacta i verificar-ne la legitimitat. Un correu electrònic pot semblar legítim amb els logotips i colors idèntics a la marca original, però contenir botons que porten a altres dominis. A més, desconfia dels escurçadors d’enllaços ja que no saps on et poden dirigir.
6. Verifica la validesa del certificat SSL
A totes les webs on introdueixis una contrasenya o facis una compra.
7. Comprova l’avís legal i política de privadesa
A la part inferior duna web per veure la legitimitat de la propietat.
Tal com posa de manifest aquesta història real, la combinació de formació i la protecció mitjançant programari són essencials.
Si teniu una empresa i necessiteu assessorament en matèria de ciberseguretat, contacteu amb nosaltres i us ajudarem.