Omet navegació

2.2 Pesca de credencials, pesca per SMS i pesca per veu

 

La pesca de credencials (phishing) és una pràctica exercida a través d'Internet que consisteix a suplantar la identitat electrònica d'una organització determinada amb l'objectiu de convèncer algú perquè reveli informació confidencial com ara contrasenyes, dades de targetes de crèdit, de la Seguretat Social o números de comptes bancaris, que posteriorment seran utilitzats amb finalitats fraudulentes.

La pesca de credencials és un tipus d’atac molt utilitzat pels ciberdelinqüents. Els missatges de pesca de credencials semblen provenir d'organitzacions legítimes, com un departament de l'Administració o el teu banc. No obstant això, en realitat es tracta d'imitacions. Els correus electrònics fraudulents redirigeixen a una pàgina web falsa per robar les credencials.

Imagina que arriba aquest correu electrònic:

  1. El correu sofisticat i escrit en català avisa d'una actualització del compte de correu corporatiu.
  2. L'enllaç redirigiria cap a un web on pren les credencials d’accés del correu.

Per aquest motiu és molt important verificar que el correu electrònic és de confiança i no sembla sospitós. En aquest cas era evident que no era així (mailto:xxx@cerdanyola.cat), ni amb la signatura corporativa de correu corresponent.

Un altre punt que has de tenir en compte és que el correu electrònic no és l'única eina vulnerable a la pesca de credencials. L'ús habitual del mòbil també ha portat a modalitats vinculats a l'ús de missatgeria instantània, SMS o, fins i tot, ús de la veu en les trucades.

En cas que algun usuari de teletreball hagi introduït les credencials per error en un formulari, requeriu-los canviar immediatament la contrasenya compromesa. I, finalment, notifiqueu l’incident al Servei de Suport Informàtic de la CAIB. Si es coneix l'URL fraudulenta, ràpidament es pot evitar que això impacti altres treballadors públics de la CAIB.

Consells a fomentar per no caure víctima d'aquest tipus d'engany:

  • No contestar en cap cas aquests correus.
  • Precaució en seguir enllaços de correus, encara que siguin de contactes coneguts.
  • Precaució a l’hora de rebre arxius adjunts de correus, encara que siguin de contactes coneguts no s'han d'obrir si no els esperem.
  • No omplir en cap cas formularis de webs sospitosos que demanin la introducció de credencials.

En cas de dubte, posar-se en contacte amb el Servei de Suport Informàtic de la CAIB i notificar què s'ha trobat.

Vídeo que es pot difondre per conscienciar usuaris: Parlem de… frau digital

vídeo 3

Exemple de pesca de credencials que suplantava la Generalitat de Catalunya i demanava credencials d'accés de l'adreça electrònica corporativa:

Necessites entrenar-te per detectar phishing? Revisa aquests exemples recents

Recull de notícies que parlen de casos reals

Quatre detinguts per una ciberestafa de 34.000 euros a una empresa. 🔗enllaç

Claus per detectar sms que suplanten el BBVA. 🔗enllaç