Els ciberatacs i el Black Friday
21 novembre, 2022Enguany, l’esperat Black Friday, no arribarà fins al divendres 25 de novembre, no obstant això, les empreses ja han començat a llançar les seves campanyes i promocions conegudes com a “Setmanes Black”. I aquest accés de compres, sobretot en línia, durant el Black Friday ha de preocupar-nos tenint en compte l’augment de ciberatacs avui dia. Les ciberamenaces contra empreses, governs i usuaris incrementen cada vegada més.
En aquest article, volem donar mecanismes de prevenció per a protegir-nos dels ciberatacs. No obstant això, abans veurem que és un ciberatac i quins tipus de ciberamenaces podem trobar:
Què entenem per ciberatac?
Un ciberatac és un intent d’alterar, exposar, desestabilitzar, eliminar i destruir amb l’objectiu d’obtenir accés sense autorització o utilitzar un actiu. En altres paraules, és un conjunt d’accions contra sistemes d’informació amb l’objectiu de perjudicar persones, empreses o institucions.
Segons la Guia de ciberatacs de l’Institut Nacional de Ciberseguretat (INCIBE), podem trobar diferents tipus de ciberatacs:
- Atacs a contrasenyes: Solen ser els més comuns i fàcils, el seu objectiu és aconseguir la informació emmagatzemada en els nostres comptes (dades bancàries, informació dels nostres correus electrònics o la nostra identitat mitjançant una xarxa social).
- Atacs per enginyeria social: Són atacs basats en l’engany i la manipulació amb l’objectiu d’aconseguir que revelem informació personal o puguin arribar a controlar els nostres dispositius, com per exemple el nostre telèfon mòbil. L’atac consisteix en un missatge que imita o suplanta la identitat d’una persona, organització de confiança o banc, amb la intenció de confondre a la víctima perquè es dirigeixi a un lloc web o completi dades en una plataforma diferent (per exemple, incloent-hi les credencials per a accedir a una entitat bancària). Solen ser missatges urgents i atractius per a evitar aplicar el sentit comú. Depenent del mitjà utilitzat pot ser:
- Phishing: mitjançant correu electrònic, xarxes socials o missatgeria instantània (ex. WhatsApp),
- Smishing: a través de SMS, o
- Vishing: amb trucades telefòniques.
Dins dels atacs per enginyeria social, també trobem:
- Ganxo o Baiting: aquest atac, conegut com a “esquer”, té la finalitat d’instal·lar un malware en els nostres dispositius amb l’objectiu de robar les nostres dades o infectar el nostre equip. Normalment, es propaga amb l’ús
- Shoulder surf: Quantes vegades hem vist usuaris en el transport públic mirant altres dispositius “per sobre de l’espatlla”? Aquesta tècnica tan usual pot convertir-se en un atac en el moment que posem les nostres contrasenyes mentrestant, sense adonar-nos, ens miren els dispositius.
- Atacs per malware: Són programes maliciosos amb l’objectiu de danyar un sistema informàtic i robar informació per a obtenir un benefici econòmic. Aquests atacs poden ser mitjançant virus (a través del correu electrònic, USB, aplicacions, etc.), Adwares (softwares dissenyats per a mostrar-nos anuncis no desitjats de manera massiva), Spyware (supervisa l’activitat per a després compartir-ho amb un usuari remot), Troians (es camuflen com softwares legítims), Backdoors (mitjançant el qual poden prendre el control remot dels nostres dispositius), entre altres.
Actualment, és el phishing la forma més senzilla i comuna de ciberatac, ja que no requereix grans coneixements per als ciberatacants i cap sistema operatiu està completament fora de perill. Un clar exemple, és l’atac de phishing que es va dur a terme en 2016 contra el director de la campanya d’Hillary Clinton. A John Podesta si li va hackejar el seu correu electrònic mitjançant un atac de phishing que afirmava que la seva contrasenya s’havia vist compromesa.
Actualment, els ciberatacs estan a l’ordre del dia i és necessari prendre les mesures adequades.
Com protegir-nos dels ciberatacs?
CONTRASENYES: No desis les contrasenyes en notes o arxius sense xifrar ni en les webs o navegadors. No utilitzis contrasenyes fàcils de recordar o amb informació personal (ex. data de naixement), ni utilitzis la mateixa contrasenya per a diversos serveis. A més, és convenient aplicar el factor d’autenticació múltiple, sempre que el servei ho permeti, i utilitzar gestors de contrasenyes. I ves amb compte en utilitzar contrasenyes en llocs públics o on puguis ser observat per un tercer.
PHISHING, SMISHING O VISHING: Hem de llegir el missatge detingudament, mirar qui és el remitent i comprovar que l’enllaç pertany a l’adreça que apunta (per exemple, si rebem un missatge de correu electrònic del banc BBVA i en enllaç al qual ens dirigeix és www.bvba.es, hem d’identificar l’error gramatical). No descarregar cap arxiu fins a comprovar la veracitat del missatge. Finalment, en el cas de tractar-se d’un atac per enginyeria social, recomanem bloquejar el contacte i eliminar el missatge.
MALWARE: Mantingues l’antivirus actualitzat. Evita descarregar aplicacions de llocs no oficials o pirates, ni arxius sospitosos o poc fiables. Utilitza només webs segures amb https i certificat digital i utilitza la manera incògnita quan no vulguis deixar rastre. Evita connectar-te en xarxes públiques i buscar xarxes que posseeixen encriptació WPA (Accés Protegit wifi).
Com a usuari, has de protegir les teves dades personals i prendre totes les mesures necessàries per a disminuir el risc de ciberatacs. Però, quines mesures pots prendre com a empresa?
Segons un informe de Kaspersky de 2019, el 43% dels atacs digitals tenen com a blanc, empreses petites i només el 14% està preparada per a enfrontar-los. Quan una empresa sofreix un ciberatac, no sols s’enfronta a un possible bloqueig dels seus sistemes i conseqüentment a una pèrdua econòmica, sinó que també pot sofrir una violació de seguretat de les dades personals.
Tal com s’indica en els Considerants 85 a 88 del Reglament General de Protecció de Dades, és responsabilitat del Responsable i Encarregat l’aplicació de mesures per a prevenir “la pèrdua de control sobre les seves dades personals o restricció dels seus drets, discriminació, usurpació d’identitat, pèrdues financeres, reversió no autoritzada de la seudonimització, mal per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, o qualsevol altre perjudici econòmic o social significatiu per a la persona física”.
A DATAX som una empresa especialitzada en matèria de protecció de dades, seguretat de la informació i Compliance.
Oferim un servei de consultoria integral per a adequar a la seva organització a tots els requisits del Reglament Europeu (RGPD 2016/679) relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, d’obligat compliment des del 25 de maig 2018.
Més de 18 anys d’experiència en l’adequació de tota mena d’organitzacions i sectors d’activitat, inclòs el sector públic i privat ens avalen.
Més de 10.000 clients confien ja en els nostres coneixements i professionalitat en la matèria.
Laura Morató
Consultora en Protecció de Dades.