Per Javier Cruz,
Technical CyberSecurity
L’Institut Nacional de Ciberseguretat (INCIBE) ha publicat el Balanç de Ciberseguretat relatiu a l’any 2023, on es reflecteix un increment del 24% dels incidents de Ciberseguretat respecte a l’any anterior i on el Phishing continua sent un protagonista, ja que dels 83.517 incidents de Ciberseguretat gestionats pel CERT d’INCIBE, 14.261 (un 17%) corresponien a atacs de Phishing.
De la mateixa manera, l’anàlisi anual de Kaspersky sobre el panorama d’amenaces de correu brossa i phishing va revelar un augment de més del 40% d’aquests atacs el 2023, arribant a un total de 709.590.011 intents d’accedir a enllaços de phishing.
Aquestes dades continuen sent tan rellevants que considerem essencial que puguis conèixer en què es caracteritza el phishing, com identificar-lo i quines estratègies es poden adoptar per prevenir-lo.
Què és el Phishing?
El phishing és un tipus d’atac cibernètic on els delinqüents es fan passar per una entitat fiable i reconeguda per enganyar les persones i fer que revelin informació personal com ara contrasenyes, números de targeta de crèdit o dades bancàries, entre d’altres. El phishing pot tenir diferents presentacions que veurem a continuació.
Tipus de Phishing
El phishing pot adoptar diferents formes. Coneixerem a continuació les més habituals:
- Phising via correu electrònic: Es tracta de la tàctica més comú. El ciberatac arriba mitjançant un correu electrònic que suplanta la identitat d’empreses o organitzacions familiars al receptor. D’aquesta manera, l’usuari creu que és real i realitza l’acció que se li demana per activar el codi maliciós (malware).
- Spear Phising: Segueix la mateixa metodologia que el correu electrònic, però en aquest cas no es fa l’enviament de forma massiva, sinó que el missatge està personalitzat amb el nom del receptor. La quantitat d’informació laboral que es pot trobar a plataformes com LinkedIn facilita la feina als hackers per crear un missatge molt més personalitzat i dirigit contra les empreses.
- Whaling: És un atac de phishing dirigit a alts càrregs empresarials. Els CEO solen ser habitualment objecte d’aquest tipus de codi maliciós (malware).
- Phising de veu o Vishing: L’usuari rep una trucada telefònica per tal d’aconseguir informació sensible o confidencial. És un mètode molt sofisticat, ja que mitjançant la tecnologia de veu sobre IP (VoIP) l’atacant és capaç d’imitar a la perfecció la veu de qualsevol persona, sense posar-ne en dubte la veracitat.
- Phising per SMS o Smishing: En aquest cas, l’atac arriba per missatge de text de mòbil o smartphone. De vegades es demana la descàrrega d’una aplicació que fa que s’instal·li el codi maliciós (malware) i es puguin sostreure les dades personals o requereixen la verificació de dades bancàries per fer-se amb ells.
- Phising en xarxes socials: En aquesta modalitat, l’atacant pot utilitzar el mateix servei de missatgeria de la xarxa social (com Facebook Messenger o missatges directes de Twitter o Instagram) seguint la mateixa tècnica que els correus electrònics per aconseguir les credencials de l’usuari. Altres vegades es colen en comptes suplantant la identitat i enviant enllaços maliciosos als contactes o seguidors.
- QRising: En llegir el codi QR l’usuari queda automàticament infectat pel codi maliciós (malware) donant pas al delinqüent a tota la informació del dispositiu.
Com podeu veure hi ha gran varietat de formes en què els ciberdelinqüents poden actuar. A més d’aquestes, els cibercriminals ja utilitzen la intel·ligència artificial (IA) en els seus atacs, fet que preocupa encaridament la majoria dels experts. A través de la IA poden aparèixer tècniques més sofisticades de phishing. Per exemple, la creació de continguts fraudulents o enganyosos que a primera vista no serien perceptibles per l’usuari. També s’han donat casos de fotomuntatges o vídeos deepfake que busquen extorsionar l’usuari, per al benefici del delinqüent, mitjançant rescats o obtenir informació sensible. O l’ús de tècniques de generació de llenguatge natural (NLG) basades en IA, que imiten la comunicació humana.
Com identificar un Intent de Phishing
Reconéixer un intent de phishing és el primer pas cap a la prevenció. Alguns senyals d’alerta inclouen:
- URL sospitoses: És summament important verificar sempre la URL abans de fer clic en un enllaç. Si sembla sospitosa o no coincideix amb l’adreça web oficial del sol·licitant, és probable que sigui un intent de pesca.
- Errors gramaticals i ortogràfics: Els missatges fraudulents sovint contenen errors que una comunicació oficial no tindria.
- Sol·licituds no requerides d’informació confidencial: Cap organització legítima no demanarà l’enviament d’informació sensible per correu electrònic.
- Sol·licituds d’acció immediata: Els estafadors utilitzen el sentit d’urgència per pressionar ràpidament a actuar, evitant que tingui temps per pensar o verificar la legitimitat del missatge. Frases com “El vostre compte serà suspès” o “Necessitem la seva acció immediata” són comuns en aquests intents.
- Tipus de fitxers sospitosos: Els atacants sovint adjunten fitxers amb extensions perilloses (com .exe, .rar, .zip) que, en ser oberts, poden instal·lar software maliciós al sistema. Sempre s’ha de verificar amb el remitent per un mitjà alternatiu abans d’obrir un fitxer adjunt si es tenen dubtes sobre la seva veracitat.
Estratègies de prevenció
A nivell empresarial, la conscienciació i la capacitació contínua dels empleats són essencials. Implementar solucions de seguretat robustes i mantenir polítiques de seguretat actualitzades també són passos crucials. Eines com el software antivirus, filtres de correu electrònic, eines de verificació dURL i mecanismes d’autenticació múltiple (MFA) poden oferir capes addicionals de seguretat.
Com Respondre a un Atac de Phishing
Si us trobeu davant d’un possible atac de phishing és vital actuar ràpidament:
- No interactuar: No fer clic a enllaços ni descarregar fitxers de correus electrònics sospitosos i altres mitjans de recepció d’informació.
- Reportar l’intent: Informar de l’atac al departament de TI i, si és aplicable, l’entitat suplantada.
ABAST t’ajuda a protegir-te del Phishing
ABAST ofereix solucions i estratègies per protegir la vostra organització dels atacs de phishing. Oferim avaluacions de seguretat, campanyes de phishing, conscienciació per al personal, últimes solucions i suport en quant a configuració. Tot això ens permet assegurar que l’entitat estigui preparada per fer front a aquestes amenaces. Els nostres casos d’èxit parlen per ells mateixos i estem a la vostra disposició per ajudar-vos a enfortir les vostres defenses.
Definitivament, en la lluita contra el phishing el coneixement i la prevenció són els millors aliats. En entendre com operen aquests atacs i en implementar estratègies proactives de prevenció i resposta, l’entitat pot navegar amb confiança el panorama digital. Podeu contactar amb nosaltres a través del nostre formulario web per descobrir de quina manera us podem ajudar per no veure-us afectats per aquests atacs en un món cada vegada més digitalitzat i interconnectat.