Ciberatacs

Què és l’enginyeria social?

En qualsevol cadena de seguretat, els humans són generalment la baula més feble. Tot i que les màquines també puguin ser enganyades, les persones són molt susceptibles de ser víctimes de tàctiques manipuladores. A aquestes pràctiques se les coneix com a enginyeria social.

Els ciberdelinqüents han desenvolupat molts tipus d’enginyeria social per tenir accés a informació confidencial i robar dades, diners i altres béns.

En aquest vídeo s’explica que és l’enginyeria social i les tècniques per evitar-la.

Com funciona?

En tractar d’enganyar les persones perquè actuïn en contra dels interessos de ciberseguretat de la seva organització, els ciberdelinqüents solen utilitzar estratègies com les següents:

  • Simpatia: Semblar fiable o simpàtic per generar confiança.
  • Reciprocitat: Oferir valor, com ara gangues o consells que creen una sensació d’obligació.
  • Compromís/urgència: Fer que les persones assumeixin un compromís abans que els riscos siguin evidents.
  • Proves socials: Simular que els amics de la víctima avalen l’activitat per generar confiança.
  • Autoritat: Fingir ser algú amb poder per intimidar una persona perquè faci una acció.

La finalitat

La finalitat dels ciberdelinqüents és estendre una trampa a les persones per:

  • Obtenir dades confidencials com ara contrasenyes o dades personal.
  • Obtenir dades financeres com ara números de comptes, targetes de crèdit o firmes electròniques bancàries.
  • Infectar ordinadors i prendre’n el control per demanar un rescat econòmic.

Com evitar-los

1.- Analitzar l’origen del correu electrònic o de la trucada telefònica.

  • Verificar la font del correu a través del web del client o proveïdor.
  • Contrastar el correu amb altres correus rebuts del mateix remitent.
  • Mirar si el número de telèfon des del que truquen és del client o proveïdor.

2.- Sospitar de correus electrònics urgents on ens demanin.

  • Que obrim un fitxer adjunt (factures, albarans, .exe. zip. etc.).
  • Que fem clic sobre un enllaç.
  • Que facilitem dades bancàries o personals.
  • El pagament urgent de factures.
  • El canvi de nombre de comptes perquè paguem les factures en altres bancs i comptes diferents dels autoritzats.

3.- Sospitar de trucades telefòniques on ens diguin que han parlat amb el responsable de l’empresa i que aquest autoritza verbalment.

  • El pagament en un altre compte bancari.
  • L’enviament d’informació confidencial.

4.- No tindre pressa a l’hora de contestar.

5.- Si alguna cosa sembla massa bona per ser certa, segurament sigui fals.

6.- No obriu mai els correus electrònics d’aquest tipus i no contesteu mai per correu electrònic.

  • És molt possible que el ciberdellicent estigui llegint els correus que enviem i rebem.

7.- Trucar de manera immediata per telèfon al remitent.

  • Si tenim un correu enviat pel nostre banc, hem de trucar per telèfon per preguntar al responsable sobre la realitat de la informació i que ens enviï la confirmació a un altre compte de correu diferent.
  • Si algun proveïdor ens demana un canvi del compte de pagament d’una factura, cal trucar per telèfon per confirmar la informació i que ens vaig enviar la resposta a un altre compte de correu diferent.

8.- Tenir l’antivirus i el programari de l’ordinador actualitzat.

9.- Trucar al responsable d’informàtica i explicar-li el que ha passat.

10.- Tenir activat el doble factor d’autenticació.

11.- Canviar la contrasenya amb freqüència.

12.- Contrastar la informació de manera verbal.

  • Davant de qualsevol sospita, abans d’actuar s’ha de contrastar verbalment amb el responsable, molts d’aquests atacs s’aprofiten del fet que la persona que rep el correu actua sense parlar prèviament amb el responsable.

SENTIT COMÚ!