Volcanic Internet Blog

Category: Seguretat

Molt de compte amb els lladres d’identitats – Phishing

Que és el Phishing o la suplantació d’identitat?

El Phishing és un mètode que fa servir un estafador/delinqüent per obtenir informació dels usuaris fent-se passar per una entitat.

Mètodes de propagació:

  • Correu electrònic
  • Xarxes Socials
  • Banners a les pàgines webs
  • Malware, software que té com objectiu agafar informació d’un ordinador sense permís del seu propietari
  • Altres…

Quina informació pot robar?

  • Dades personals
    • Direccions de email
    • Dades de localització i/o contacte
  • Informació financera
    • Número de targetes de crèdit
    • Números de compte
  • Credencials d’accès
    • Xarxes socials
    • Comptes de correu electrònic
    • Accès online a les plataformes del banc

Com ataca?

  1. L’estafador crea una web de confiança, molt semblant a la del teu banc o al de la web d’on et volen agafar les dades
  2. Aquesta còpia de la web la pots rebre via correu electrònic, publicacions a les xarxes socials o banners en una pàgina web
  3. Els que confien en el missatge, publicació o banner hi fan clic
  4. Els usuaris accedeixen al lloc web fals que ha creat l’estafador i hi accedeixen amb les seves dades personals
  5. En aquest punt l’estafador ja té les dades i les pot utilitzar amb intencions malicioses en el lloc web real

Conseqüències

  • Robatori de diners en el compte bancari
  • Ús indegut de la targeta de crèdit
  • Venta de les dades personals
  • Suplantació d’identitat
  • Enviament de publicitat

Com detectar el phishing en un correu electrònic?

Els correus electrònics normalment volen cridar l’atenció de l’usuari amb missatges d’alerta i, en general, no estan dirigits de manera personal.

  • De: remitents desconeguts i/o sospitosos (ex: abcd@xyz.com), encara que és fàcil modificar el remitent per l’estafador. Inclús el podem rebre d’una persona coneguda, tot i que aquesta no sap que ho envien.
  • Per: missatge enviat a molts destinataris
  • Assumpte: Tracta temes inusuals
  • Cos del missatge:
    • Es dirigeix a un usuari genèric (ex: Estimat usuari/client)
    • Missatge d’alerta
    • Link cap a una web. Al fer clic no porta a la mateixa web que es mostra en el missatge
    • Faltes d’ortografia
    • Idioma del correu

Com detectar una còpia d’una pàgina web?

La web pot ser molt similar, però no exactament igual. Podeu revisar els següents punts:

  • Candau de seguretat: verificar que el certificat de seguretat coincideix amb la URL a la que s’està accedint
  • HTTPS: comprovar que el protocol és https
  • URL: verificar que la url és correcte
  • Demana dades d’accès fora del procés normal al que estem acostumats

Consells per protegir-se del Phishing

  • Mai entregar dades per correu electrònic. Les empreses i bancs mai et demanaran les dades bancaries ni targetes de crèdit per correu
  • Si dubtes que un correu electrònic sigui segur, no facis clic a cap enllaç que inclogui
  • Si igualment hi vols accedir, no facis clic a l’enllaç, escriu la direcció a la barra del seu navegador i comprova que sigui realment la direcció de la pàgina web a la qual vols entrar
  • Si reps un correu d’aquest tipus de phishing, ignora’l i no responguis
  • Comprova que la pàgina web té una direcció segura, ha de començar per https i hi ha d’haver un petit candau tancat a la barra d’estat del navegdor web
  • Revisa que sempre escrius correctament la direcció de la web que vols visitar, ja que ha vegades una pàgina de phishing pot tenir una o dos lletres de diferència
  • Si sospites que pots ser víctima del phishing, canvia totes les contrasenyes i posa’t en contacte amb l’empresa o entitat financera per informar-los

Com tenir una contrasenya segura?

La gran quantitat de pàgines web que utilitzem a diàri, com Facebook, Twitter, comerços electrònics, etc. fa que sigui complicat la gestió dels usuaris i passwords que tenim per accedir-hi. En aquesta entrada volem donar-vos consells de seguretat sobre com crear aquestes constrasenyes i trucs per recordar-les.

Primer de tot una anècdota, la contrasenya que es fa servir més és 123456, seguida de la paraurla ‘password’. Les dues no són gents recomenables. Una contrasenya segura hauria de tenir:

  • Més de 10 caràcters
  • Combinar lletres minúscules i majuscules
  • Tenir números
  • Tenir símbols com ?, !, #, $
  • Només l’hauries de saber tu

Una crontrasenya segura podria ser: uoy}FR>~^F-9Hjd8

I aquí el problema… com recordem aquesta contrasenya sense apuntar-la en un paper o al mòbil?

Us recomanem seguir aquesta guia per tal de crear i recordar passwords, i al mateix temps, que siguin diferents per les diferents webs:

  1. Agafar com a base una paraula o frase llarga i fàcil de recordar. Per exemple, podriem començar a partir de la frase ‘el mar és blau’
  2. Combinem lletres minúscules i majuscules: El MaR eS BLau
  3. Canviem lletres per números. Per exemple, podem modificar les ‘L’ per 1 i les ‘a’ pel número 4. Així doncs, ja tenim: El M4R eS B14u
  4. Afegim els símbols i treiem els espais: 3l$M4ReS%B14u
  5. Afegir, a l’inici o final part del nom de la web per on és aquesta contrasenya. Per exemple:
    1. 3l$M4ReS%B14u_fb
    2. 3l$M4ReS%B14u_twit
    3. 3l$M4ReS%B14u_4m4z0n

Un altre sistema és tenir 5 o 6 contrasenyes memoritzades de diferent nivell de seguretat. La que fem servir en cada web dependrà de la informació personal que hi tenim guardada. Si és una web en la qual ens registrem només per provar-la hi podem posar una contrasenya menys segura, i quan ja la fem servir de forma habitual i hi tenim informació més personal, podem fer servir un password més segur.

Tot i aquests consells, és molt recomenable modificar les contrasenyes cada 6 mesos.

També hi ha programes que et poden ajudar a guardar les contrasenyes. Aquests programes encripten la informació i només la pot veure la persona autoritzada.  Un exemple és el 1Password.

En el pitjor dels casos, quan et roben les credencials, el millor és modificar el password d’aquest web el més ràpid possible i dels serveis que hi hagin associats. O, si es fa servir el mateix password per diferents webs, modificar-les totes. Cal dir, que casi totes les empreses avisen als seus usuaris quan la informació ha estat compromesa.

Esperem que aquests consells us serveixin! Si en teniu algun altre el podeu deixar com a comentari.

Copyright © 2021 Volcanic Internet Blog

Theme by Anders NorenUp ↑