Els ciberatacs i el Black Friday

21 novembre, 2022

Enguany, l’esperat Black Friday, no arribarà fins al divendres 25 de novembre, no obstant això, les empreses ja han començat a llançar les seves campanyes i promocions conegudes com a “Setmanes Black”. I aquest accés de compres, sobretot en línia, durant el Black Friday ha de preocupar-nos tenint en compte l’augment de ciberatacs avui dia. Les ciberamenaces contra empreses, governs i usuaris incrementen cada vegada més.

En aquest article, volem donar mecanismes de prevenció per a protegir-nos dels ciberatacs. No obstant això, abans veurem que és un ciberatac i quins tipus de ciberamenaces podem trobar:

Què entenem per ciberatac?

Un ciberatac és un intent d’alterar, exposar, desestabilitzar, eliminar i destruir amb l’objectiu d’obtenir accés sense autorització o utilitzar un actiu. En altres paraules, és un conjunt d’accions contra sistemes d’informació amb l’objectiu de perjudicar persones, empreses o institucions.

Segons la Guia de ciberatacs de l’Institut Nacional de Ciberseguretat (INCIBE), podem trobar diferents tipus de ciberatacs:

Atacs a contrasenyes: Solen ser els més comuns i fàcils, el seu objectiu és aconseguir la informació emmagatzemada en els nostres comptes (dades bancàries, informació dels nostres correus electrònics o la nostra identitat mitjançant una xarxa social).

Atacs per enginyeria social: Són atacs basats en l’engany i la manipulació amb l’objectiu d’aconseguir que revelem informació personal o puguin arribar a controlar els nostres dispositius, com per exemple el nostre telèfon mòbil. L’atac consisteix en un missatge que imita o suplanta la identitat d’una persona, organització de confiança o banc, amb la intenció de confondre a la víctima perquè es dirigeixi a un lloc web o completi dades en una plataforma diferent (per exemple, incloent-hi les credencials per a accedir a una entitat bancària). Solen ser missatges urgents i atractius per a evitar aplicar el sentit comú. Depenent del mitjà utilitzat pot ser:
- Phishing: mitjançant correu electrònic, xarxes socials o missatgeria instantània (ex. WhatsApp),
- Smishing: a través de SMS, o
- Vishing: amb trucades telefòniques.

Dins dels atacs per enginyeria social, també trobem:

Ganxo o Baiting: aquest atac, conegut com a “esquer”, té la finalitat d’instal·lar un malware en els nostres dispositius amb l’objectiu de robar les nostres dades o infectar el nostre equip. Normalment, es propaga amb l’ús

Shoulder surf: Quantes vegades hem vist usuaris en el transport públic mirant altres dispositius “per sobre de l’espatlla”? Aquesta tècnica tan usual pot convertir-se en un atac en el moment que posem les nostres contrasenyes mentrestant, sense adonar-nos, ens miren els dispositius.

Atacs per malware: Són programes maliciosos amb l’objectiu de danyar un sistema informàtic i robar informació per a obtenir un benefici econòmic. Aquests atacs poden ser mitjançant virus (a través del correu electrònic, USB, aplicacions, etc.), Adwares (softwares dissenyats per a mostrar-nos anuncis no desitjats de manera massiva), Spyware (supervisa l’activitat per a després compartir-ho amb un usuari remot), Troians (es camuflen com softwares legítims), Backdoors (mitjançant el qual poden prendre el control remot dels nostres dispositius), entre altres.

Actualment, és el phishing la forma més senzilla i comuna de ciberatac, ja que no requereix grans coneixements per als ciberatacants i cap sistema operatiu està completament fora de perill. Un clar exemple, és l’atac de phishing que es va dur a terme en 2016 contra el director de la campanya d’Hillary Clinton. A John Podesta si li va hackejar el seu correu electrònic mitjançant un atac de phishing que afirmava que la seva contrasenya s’havia vist compromesa.

Actualment, els ciberatacs estan a l’ordre del dia i és necessari prendre les mesures adequades.

Com protegir-nos dels ciberatacs?

CONTRASENYES: No desis les contrasenyes en notes o arxius sense xifrar ni en les webs o navegadors. No utilitzis contrasenyes fàcils de recordar o amb informació personal (ex. data de naixement), ni utilitzis la mateixa contrasenya per a diversos serveis. A més, és convenient aplicar el factor d’autenticació múltiple, sempre que el servei ho permeti, i utilitzar gestors de contrasenyes. I ves amb compte en utilitzar contrasenyes en llocs públics o on puguis ser observat per un tercer.

PHISHING, SMISHING O VISHING: Hem de llegir el missatge detingudament, mirar qui és el remitent i comprovar que l’enllaç pertany a l’adreça que apunta (per exemple, si rebem un missatge de correu electrònic del banc BBVA i en enllaç al qual ens dirigeix és www.bvba.es, hem d’identificar l’error gramatical). No descarregar cap arxiu fins a comprovar la veracitat del missatge. Finalment, en el cas de tractar-se d’un atac per enginyeria social, recomanem bloquejar el contacte i eliminar el missatge.

MALWARE: Mantingues l’antivirus actualitzat. Evita descarregar aplicacions de llocs no oficials o pirates, ni arxius sospitosos o poc fiables. Utilitza només webs segures amb https i certificat digital i utilitza la manera incògnita quan no vulguis deixar rastre. Evita connectar-te en xarxes públiques i buscar xarxes que posseeixen encriptació WPA (Accés Protegit wifi).

Com a usuari, has de protegir les teves dades personals i prendre totes les mesures necessàries per a disminuir el risc de ciberatacs. Però, quines mesures pots prendre com a empresa?

Segons un informe de Kaspersky de 2019, el 43% dels atacs digitals tenen com a blanc, empreses petites i només el 14% està preparada per a enfrontar-los. Quan una empresa sofreix un ciberatac, no sols s’enfronta a un possible bloqueig dels seus sistemes i conseqüentment a una pèrdua econòmica, sinó que també pot sofrir una violació de seguretat de les dades personals.

Tal com s’indica en els Considerants 85 a 88 del Reglament General de Protecció de Dades, és responsabilitat del Responsable i Encarregat l’aplicació de mesures per a prevenir “la pèrdua de control sobre les seves dades personals o restricció dels seus drets, discriminació, usurpació d’identitat, pèrdues financeres, reversió no autoritzada de la seudonimització, mal per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, o qualsevol altre perjudici econòmic o social significatiu per a la persona física”.

A DATAX som una empresa especialitzada en matèria de protecció de dades, seguretat de la informació i Compliance.

Oferim un servei de consultoria integral per a adequar a la seva organització a tots els requisits del Reglament Europeu (RGPD 2016/679) relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, d’obligat compliment des del 25 de maig 2018.

Més de 18 anys d’experiència en l’adequació de tota mena d’organitzacions i sectors d’activitat, inclòs el sector públic i privat ens avalen.

Més de 10.000 clients confien ja en els nostres coneixements i professionalitat en la matèria.

Laura Morató

Consultora en Protecció de Dades.

CIBERATAC, ciberseguretat, comerç electrònic, protecció, seguretat, seguretat de les dades, SEGURETAT INFORMÀTICA

Cookie	Nom	Finalitat / Més informació	Venciment
	419ª6F17ACB 2CAC9810D93 1150D119930	Aquesta cookie és un identificador de sessió proporcionat pel servidor.
	cookieaccept	Emmagatzema l'acceptació de la instal·lació de cookies per part de l'usuari per no mostrar repetidament el mateix missatge.	1 any
Google Analytics	_utma	PROTECCIÓN DE DATOS DATAX, SL utilitza Google Analytics en el lloc web per a poder fer un seguiment de l’activitat que s’hi realitza.	2 anys
	_utmb	Les cookies de Google Analytics compilen informació de registre estàndard i dades sobre els hàbits dels visitants de manera anònima.	30 minuts
	_utmc	Determina si es necessari establir una nova sessió.	Sessió
	_utmt	S’utilitza per a processar el tipus de sol·licitud demanada per l’usuari.	Sessió
	_utmz	Emmagatzema l’origen del visitant i el camí que ha seguit per a accedir al web.	6 mesos
	_ga	S’utilitza per a distingir als usuaris.	2 anys
	_gat	S’usa per diferenciar entre els diferents objectes de seguiment creats a la sessió. La cookie es crea en carregar la llibreria javascript i no existeix una versió prèvia de la cookie _gat. La cookie s’actualitza cada vegada que envia les dades a Google Analytics.	10 minuts
Cookies google.com	PREF	L’ús de serveis de localització com Google Maps implica la instal·lació d’aquestes cookies.	2 anys
	APISID	S’utilitzen per a recordar preferències de l’usuari durant la seva navegació.	2 anys
	SAPISID		2 anys
	SSID	També per al recompte, per part de Google, del número d’usuaris que utilitzen els mapes	2 anys
	khcookie		Sessió
	testcookie		6 mesos
	NID	Per a fer la publicitat més atractiva	6 mesos
	HSID, SID	I per a proveir de mecanismes de seguretat que evitin l’accés no autoritzat a dades d’accés d’usuaris o la informació que aquests faciliten en formularis de contacto, p.ex.	2 anys
Cookies de Facebook	Lu, cuser, csm, fr, s, xs	Les seves finalitats estan especificades en www.facebook.com/ help/cookies
Account Google	GAPS, LSID, LSOSID, UTMA, UTZ	Eina de Google+ a través de botons d'acció per permetre a l'usuari compartir contingut a través de Google+. Aquestes cookies permeten a Google autenticar si es comparteix el lloc amb aquest botó. Més informació sobre les cookies de Google en www.google.com/intl/es/ policies/technologies/ types (castellà)
APIS GOOGLE		Aquestes cookies de Google Maps registren l'origen de l'usuari, així com les keywords. També es genera un prefix únic, que és el que s'utilitza per fer recompte de quantes vegades visita el lloc un usuari www.google.com/intl/es/ policies/technologies/ types (castellà)

Consultoria especialitzada en Protecció de Dades i Seguretat de la Informació

ÀREA CLIENT EN CONSTRUCCIÓ.

Ciberseguretat

Els ciberatacs i el Black Friday

Què entenem per ciberatac?

Com protegir-nos dels ciberatacs?

Deixa un comentari Cancel·la les respostes