Noves amenaces, nous termes

Encara que estan pròximes les vacances d’estiu, en el camp de la seguretat informàtica no hi ha descans. És més, els atacs s’incrementen en els períodes festius, ja que els usuaris estem més relaxats i no comptem amb el suport habitual dels nostres informàtics.

El phishing és un vell conegut en aquest camp: un missatge de correu electrònic simula ser d’una organització legítima (un banc, la universitat, etc.) i conté un enllaç a una pàgina falsa que suplanta a l’autèntica. En la UPV, desgraciada i inevitablement, hem patit algun atac d’aquest tipus.

Els dos aspectes fonamentals del phishing són la suplantació (el fer-se passar per un altre) i la ‘pesca’ de l’incaut (normalment l’obtenció del seu usuari i contrasenya).

I ens podem trobar amb diferents tipus d’atacs que, mantenint aquestes dues característiques, intentaran enganyar-nos per a capturar les nostres credencials:

  • El Wi-phishing (Wi-Fi + phishing) és una modalitat en auge i més freqüent del que poguera pensar-se. Es tracta de xarxes sense fil falses que volen ‘atrapar-nos’ per a escoltar les nostres comunicacions. Abans de connectar-te en un aeroport, en un hotel… o en la teua pròpia casa! a una xarxa sense fil que no coneixes, pensa si és gratuïta per algun motiu en especial.

  • SMiShing (SMS + phishing) és la variant que suplanta missatges de mòbil. Igual que en el correu electrònic, els SMS no garanteixen que el número que apareix en el mòbil siga el número que realment ha enviat el missatge. Solen contindre enllaços que descarreguen malware per a infectar els telèfons.

  • El Vishing (voice + phishing) empra sistemes de veu automatitzats semblants als del servei que suplanten (encara que també es donen casos de tracte personal). Pot començar a partir d’un SMS o d’una telefonada, simulant, en ambdós casos, que el número que crida és el del servei suplantat. L’engany funciona molt bé, ja que tendim a confiar plenament en les cridades telefòniques.

  • Spear phishing és una de les modalitats més perilloses actualment. Es tracta d’un phishing especialment dirigit a una persona o a un grup de persones relacionades. Són missatges de correu electrònic redactats amb molta atenció i que no desperten sospites sobre la seua legitimitat. Habitualment contenen fitxers infectats de tipus PDF, Excel, etc.

Com a usuaris no hem de fiar-nos, sense més, de qualsevol missatge de correu electrònic. I, en tot cas, sempre és aconsellable acudir directament a la web del servei en qüestió, abans que seguir els enllaços que apareixen en els correus.

La UPV, per a ajudar a combatre aquestes amenaces, té en marxa el mecanisme CFD, que permet comprovar fàcilment si un correu és legítim (és a dir, ha estat enviat pels serveis de la UPV) o no. Es basa en la signatura digital dels missatges i en la consulta a través de la Intranet dels mateixos.

Recorda: depén de tu que veges l’enganyifa o que piques l’ham…