Com protegir els diners i les dades personals a Internet

2024 Autora: Malcolm Clapton | [email protected]. Última modificació: 2023-12-17 03:49

Com més informat estiguis, més difícil serà enganyar-te. Aquí teniu tot el que necessiteu saber sobre la pesca amb Microsoft.

Trobeu encara més consells sobre com protegir-vos de les amenaces digitals.

Què és el phishing i com de perillós és

El phishing és un tipus comú de frau cibernètic, el propòsit del qual és comprometre i segrestar comptes, robar informació de la targeta de crèdit o qualsevol altra informació confidencial.

Molt sovint, els ciberdelinqüents utilitzen el correu electrònic: per exemple, envien cartes en nom d'una empresa coneguda, atraient els usuaris al seu lloc web fals amb el pretext d'una promoció rendible. La víctima no reconeix la falsificació, introdueix l'inici de sessió i la contrasenya des del seu compte i, per tant, el mateix usuari transfereix les dades als estafadors.

Qualsevol pot patir. Els correus electrònics de pesca automatitzats solen estar dirigits a un públic ampli (centenars de milers o fins i tot milions d'adreces), però també hi ha atacs dirigits a un objectiu específic. Molt sovint, aquests objectius són els alts directius o altres empleats que tenen accés privilegiat a les dades corporatives. Aquesta estratègia de pesca personalitzada s'anomena caça de balenes, que es tradueix com a "captura de balenes".

Les conseqüències dels atacs de pesca poden ser devastadores. Els estafadors poden llegir la vostra correspondència personal, enviar missatges de pesca al vostre cercle de contactes, retirar diners dels comptes bancaris i, en general, actuar en nom vostre en un sentit ampli. Si tens un negoci, el risc és encara més gran. Els phishers són capaços de robar secrets corporatius, destruir fitxers sensibles o filtrar les dades dels vostres clients, danyant la reputació de l'empresa.

Segons l'Informe de tendències de l'activitat de pesca del Grup de treball Anti-Phishing, només durant l'últim trimestre del 2019, els experts en ciberseguretat van descobrir més de 162.000 llocs web fraudulents i 132.000 campanyes de correu electrònic. Durant aquest temps, prop d'un miler d'empreses d'arreu del món s'han convertit en víctimes del phishing. Caldrà veure quants atacs no es van detectar.

Evolució i tipus de phishing

El terme "phishing" prové de la paraula anglesa "fishing". Aquest tipus d'estafa s'assembla molt a la pesca: l'atacant llança l'esquer en forma de missatge o enllaç fals i espera que els usuaris mosseguen.

Però en anglès phishing s'escriu una mica diferent: phishing. S'utilitza el dígraf ph en comptes de la lletra f. Segons una versió, es tracta d'una referència a la paraula phony ("enganyador", "estafador"). D'altra banda, a la subcultura dels primers pirates informàtics, que es deien phreakers ("phreakers").

Es creu que el terme phishing es va utilitzar per primera vegada públicament a mitjans de la dècada de 1990 als grups de notícies Usenet. En aquell moment, els estafadors van llançar els primers atacs de pesca dirigits als clients del proveïdor d'Internet nord-americà AOL. Els atacants van enviar missatges demanant que confirmessin les seves credencials, fent-se passar per empleats de l'empresa.

Amb el desenvolupament d'Internet, han aparegut nous tipus d'atacs de pesca. Els estafadors van començar a falsificar llocs web sencers i van dominar diferents canals i serveis de comunicació. Avui dia, es poden distingir aquests tipus de pesca.

• Correu electrònic de pesca. Els estafadors registren una adreça postal similar a l'adreça d'una empresa coneguda o un conegut de la víctima seleccionada i envien cartes. Al mateix temps, pel nom del remitent, disseny i contingut, una carta falsa pot ser gairebé idèntica a l'original. Només a l'interior hi ha un enllaç a un lloc fals, fitxers adjunts infectats o una sol·licitud directa per enviar dades confidencials.
• SMS phishing (smishing). Aquest esquema és similar a l'anterior, però s'utilitza SMS en comptes del correu electrònic. El subscriptor rep un missatge d'un número desconegut (generalment curt) amb una sol·licitud de dades confidencials o amb un enllaç a un lloc fals. Per exemple, un atacant pot presentar-se com a banc i sol·licitar el codi de verificació que heu rebut abans. De fet, els estafadors necessiten el codi per piratejar el vostre compte bancari.
• Phishing a les xarxes socials. Amb la proliferació de missatgeria instantània i xarxes socials, els atacs de pesca també han inundat aquests canals. Els atacants poden contactar amb tu mitjançant comptes falsos o compromesos d'organitzacions conegudes o dels teus amics. En cas contrari, el principi de l'atac no difereix dels anteriors.
• Phishing telefònic (vishing). Els estafadors no es limiten als missatges de text i us poden trucar. Molt sovint, s'utilitza la telefonia per Internet (VoIP) per a aquest propòsit. La persona que truca pot suplantar, per exemple, un empleat del servei d'assistència del vostre sistema de pagament i sol·licitar dades per accedir a la cartera, suposadament per a la verificació.
• Cerca phishing. Podeu trobar phishing directament als resultats de la cerca. N'hi ha prou amb fer clic a l'enllaç que porta al lloc fals i deixar-hi dades personals.
• Pop-up de pesca. Els atacants solen utilitzar finestres emergents. Visitant un recurs dubtós, és possible que vegis un bàner que promet algun benefici -per exemple, descomptes o productes gratuïts- en nom d'una empresa coneguda. En fer clic en aquest enllaç, se us dirigirà a un lloc controlat per ciberdelinqüents.
• Agricultura. No està directament relacionat amb el phishing, però l'agricultura també és un atac molt comú. En aquest cas, l'atacant falsifica les dades del DNS redirigint automàticament l'usuari en lloc dels llocs originals als falsos. La víctima no veu cap missatge ni pancarta sospitós, la qual cosa augmenta l'eficàcia de l'atac.

El phishing continua evolucionant. Microsoft va parlar de noves tècniques que el seu servei anti-phishing Microsoft 365 Advanced Threat Protection va descobrir el 2019. Per exemple, els estafadors han après a dissimular millor els materials maliciosos als resultats de la cerca: es mostren enllaços legítims a la part superior, que condueixen l'usuari a llocs de pesca mitjançant múltiples redireccions.

A més, els ciberdelinqüents van començar a generar automàticament enllaços de pesca i còpies exactes dels correus electrònics a un nivell qualitativament nou, cosa que els permet enganyar els usuaris amb més eficàcia i evitar les mesures de seguretat.

Al seu torn, Microsoft ha après a identificar i bloquejar noves amenaces. L'empresa ha utilitzat tots els seus coneixements de ciberseguretat per crear el paquet Microsoft 365. Proporciona les solucions que necessiteu per al vostre negoci, alhora que garanteix que la vostra informació estigui protegida de manera eficaç, inclosa la pesca. Microsoft 365 Advanced Threat Protection bloqueja els fitxers adjunts maliciosos i els enllaços potencialment nocius als correus electrònics, detecta programari ransom i altres amenaces.

Com protegir-se del phishing

Millora la teva alfabetització tècnica. Com diu el refrany, qui està prevenit està armat. Estudieu la seguretat de la informació pel vostre compte o consulteu experts per obtenir assessorament. Fins i tot tenir uns coneixements sòlids dels conceptes bàsics de la higiene digital us pot estalviar molts problemes.

Ves amb compte. No seguiu enllaços ni obriu fitxers adjunts en cartes d'interlocutors desconeguts. Si us plau, comproveu acuradament les dades de contacte dels remitents i les adreces dels llocs que visiteu. No respongueu a les sol·licituds d'informació personal, fins i tot quan el missatge sembli creïble. Si un representant de l'empresa et demana informació, és millor trucar al seu centre de trucades i informar de la situació. No feu clic a les finestres emergents.

Utilitzeu les contrasenyes amb prudència. Utilitzeu una contrasenya única i segura per a cada compte. Subscriu-te als serveis que avisen els usuaris si les contrasenyes dels seus comptes apareixen al web i canvia immediatament el codi d'accés si resulta que està compromès.

Configureu l'autenticació multifactor. Aquesta funció també protegeix el compte, per exemple, utilitzant contrasenyes d'un sol ús. En aquest cas, cada vegada que inicieu sessió al vostre compte des d'un dispositiu nou, a més de la contrasenya, haureu d'introduir un codi de quatre o sis caràcters que us enviarem per SMS o generat en una aplicació especial. Potser no sembla molt convenient, però aquest enfocament us protegirà del 99% dels atacs habituals. Després de tot, si els estafadors roben la contrasenya, encara no podran entrar sense un codi de verificació.

Utilitzeu les instal·lacions d'inici de sessió sense contrasenya. En aquests serveis, quan sigui possible, hauríeu d'abandonar completament l'ús de contrasenyes, substituint-les per claus de seguretat de maquinari o autenticació mitjançant una aplicació en un telèfon intel·ligent.

Utilitzeu programari antivirus. L'antivirus actualitzat ajudarà en part a protegir el vostre ordinador del programari maliciós que redirigeix a llocs de pesca o roba els inicis de sessió i les contrasenyes. Però recordeu que la vostra principal protecció segueix sent l'adhesió a les normes d'higiene digital i l'adhesió a les recomanacions de ciberseguretat.

Si tens un negoci

Els consells següents també seran útils per als propietaris i executius d'empreses.

Formar els empleats. Expliqueu als subordinats quins missatges cal evitar i quina informació no s'ha d'enviar per correu electrònic i altres canals de comunicació. Prohibir que els empleats utilitzin el correu corporatiu amb finalitats personals. Instruïu-los sobre com treballar amb contrasenyes. També val la pena tenir en compte una política de retenció de missatges: per exemple, per motius de seguretat, podeu eliminar missatges anteriors a un període determinat.

Realitzar atacs de pesca d'entrenament. Si voleu provar la reacció dels vostres empleats a la pesca, proveu de fingir un atac. Per exemple, registreu una adreça postal semblant a la vostra i envieu-ne cartes als subordinats demanant-los que us proporcionin dades confidencials.

Trieu un servei postal fiable. Els proveïdors de correu electrònic gratuïts són massa vulnerables a les comunicacions empresarials. Les empreses haurien de triar només serveis corporatius segurs. Per exemple, els usuaris del servei de correu de Microsoft Exchange, que forma part de la suite Microsoft 365, tenen una protecció integral contra el phishing i altres amenaces. Per contrarestar els estafadors, Microsoft analitza centenars de milers de milions de correus electrònics cada mes.

Contracteu un expert en ciberseguretat. Si el vostre pressupost ho permet, trobeu un professional qualificat que us ofereixi una protecció contínua contra el phishing i altres amenaces cibernètiques.

Què has de fer si ets víctima de pesca

Si hi ha motius per creure que les vostres dades han caigut en mans equivocades, actueu immediatament. Comproveu els vostres dispositius per detectar virus i canvieu les contrasenyes del compte. Informeu el personal del banc que les vostres dades de pagament poden haver estat robades. Si cal, informeu els clients de la possible fuga.

Per evitar que aquestes situacions es repeteixin, trieu serveis de col·laboració fiables i moderns. Els productes amb mecanismes de protecció integrats són els més adequats: funcionarà de la manera més còmoda possible i no hauràs d'arriscar la seguretat digital.

Per exemple, Microsoft 365 inclou una sèrie de funcions de seguretat intel·ligents, com ara protegir els comptes i els inicis de sessió de compromisos amb un model d'avaluació de riscos integrat, autenticació sense contrasenya o multifactor que no requereix llicències addicionals.

A més, el servei ofereix un control dinàmic d'accés amb avaluació de riscos i tenint en compte un ampli ventall de condicions. A més, Microsoft 365 conté automatització i anàlisi de dades integrades, i també us permet controlar els dispositius i protegir la informació de les fuites.