Category: Actualitat

La Generalitat ha llançat una sèrie de recomanacions amb la finalitat de recordar a les entitats, tant públiques com privades, quines accions poden dur a terme per a evitar que fructifiquen els intents d’estada per Internet, coneguts com a frau al CEO.

El director general de Tecnologies de la Informació i les Comunicacions, Sr. José Manuel García Duarte, ha assegurat que «davant la informació coneguda aquests últims dies sobre l’intent d’estafa que ha patit la Corporació Valenciana de Mitjans de Comunicació, considerem de vital importància conscienciar les organitzacions sobre les accions que han de dur a terme per a evitar que aquest tipus d’estafes fructifiquen».

«És primordial -ha continuat- conscienciar els empleats i empleades, així com els directius d’empreses i qualsevol altre tipus d’organització del sector públic i privat, perquè sàpien com actuar davant qualsevol correu electrònic (CEL) o contacte sospitós, utilitzant mitjans electrònics».

García Duarte ha explicat que, en aquest cas, les bones pràctiques en seguretat de la CVMC (Corporació Valenciana de Mitjans de Comunicació), han permés una detecció primerenca i la seua comunicació al Centre de Seguretat TIC de la Comunitat Valenciana (CSIRT-CV).

Segons el CSIRT-CV, els i les atacants podrien haver obtingut els comptes de correu suplantats a través de la plataforma de contractació de l’Estat.

Per aquesta raó, García Duarte ha cridat l’atenció sobre la gran quantitat de dades que es publiquen en els plecs de contractació de les organitzacions, i ha recordat que és important «no donar més dades de les necessàries en aquesta mena de documentació i plataformes, ja que no sabem qui podria estar llegint-ho, i a qui més li podria interessar per a finalitats il·lícites com la sostracció econòmica».

El director general assegura que l’intent de frau no ha tingut èxit, però aprofita l’ocasió per a «exhortar els responsables de les organitzacions a actuar i divulgar les recomanacions que emet CSIRT-CV, entre els seus empleats i empleades».

Recomanacions davant incidents facilitats

Des de CSIRT-CV es recorda que existeixen diversos tipus d’atacs, uns amb major component tecnològic (troians, virus, ‘ransomware’, atacs de denegació de serveis, etc.) i uns altres, incidents facilitats per la tecnologia, en què els ciberdelinqüents s’aprofiten de l’anonimat i el major accés als usuaris que ofereix Internet per a cometre fraus o estafes tradicionals, només que, ara, emprant mitjans tecnològics com el correu electrònic. Entre aquests últims, es troba el frau al CEO.

Els «fraus al CEO» consisteixen a fer arribar un correu a un empleat que tinga capacitat per a fer transferències o accés a dades de comptes, suposadament remés per un superior (ja siga el seu CEO, president o director de l’empresa), urgint-lo a realitzar una transferència per a alguna operació financera que sol titllar-se de confidencial i urgent.

Les campanyes més sofisticades, solen vindre precedides d’una fase d’investigació, en la qual l’atacant recapta informació sobre l’estructura orgànica i funcional de l’empresa o organisme a atacar, amb la finalitat de dirigir-se a la persona adequada. Aquesta investigació sol usar fonts públiques de dades per a obtindre la informació, raó per la qual és fonamental limitar les dades que es publiquen per qualsevol mitjà.

CSIRT-CV recomana que, una vegada es detecte un tipus de correu electrònic d’aquest tipus, cal bloquejar el remitent en els servidors de correu per a evitar rebre futurs correus, i comprovar que no se n’han rebut més en comptes d’altres usuaris.

A més, els usuaris han d’evitar prémer en qualsevol enllaç present en el CEL, així com obrir documents de procedència incerta i, sobretot, mai s’ha d’enviar les credencials d’accés (usuari i contrasenya) mitjançant correu electrònic a ningú.

D’altra banda, CSIRT-CV recomana guardar un registre dels correus enviats i rebuts, per si es requerira fer una investigació posteriorment, i mantindre una política de contrasenyes robustes entre els empleats i empleades de l’organització.

Des del Centre de Seguretat TIC de la Comunitat Valenciana, es posa l’accent en la conscienciació als usuaris, ja que el punt crític en aquesta mena de fraus és l’operació de canvi de compte bancari, que habitualment se sol fer de dues formes: mitjançant un correu electrònic que indique que un proveïdor, per exemple, ha canviat de compte bancari; o mitjançant l’enviament d’una factura amb un nou compte.

En aquesta situació, es recorda que la millor defensa és la procedimental: definir una base de dades amb els comptes autoritzats i que, cada vegada que es realitzarà un pagament, es compare cada compte amb la informació que es té en la base de dades, no realitzant el pagament si no són coincidents.

A més, cal prestar molta atenció a les propostes de canvi de compte i, si es necessita realitzar una crida de verificació des de zero, mai s’ha de telefonar a cap número que figure en cap CEL, sinó el que tinguem en la nostra base de dades o el que figure en la pàgina web oficial de l’entitat a la qual suposadament s’intenta suplantar.

També es recomana establir una estructura de doble signatura per als imports que superen certa quantitat, ja que sempre resultarà més difícil que fructifique un engany a dues persones que només a una.

Aquest procediment ha de ser d’obligat compliment per a tots els membres de l’organització, ja que en molts casos l’objectiu a suplantar és un alt càrrec de l’organització que podria tindre potestat per a saltar-se les restriccions de seguretat o els procediments.

CSIRT-CV és un centre, dependent de la Direcció General de Tecnologies de la Informació i les Comunicacions (DGTIC), que s’ha consolidat com a peça indispensable per a la seguretat corporativa de la Generalitat i per a la conscienciació en ciberseguretat en la societat valenciana.

Des de la seua posada en marxa, publica informació sobre seguretat en la seua pàgina web (consulteu ací, incloent-hi cursos de formació, així com avisos i consells en les seues xarxes socials Facebook (http://www.facebook.com/csirtcv) i Twitter (twitter.com/csirtcv), i en el portal de conscienciació en ciberseguretat concienciaT (concienciat.gva.es).

L’activitat de CSIRT-CV està cofinançada per la Unió Europea, a través del Programa Operatiu del Fons Europeu de Desenvolupament Regional (Feder) de la Comunitat Valenciana 2014-2020.

• • El Centre de Seguretat TIC de la Comunitat Valenciana recorda que aquest tipus de frau és una estafa tradicional, només que ara els delinqüents utilitzen Internet.
  • La principal recomanació és conscienciar els empleats i empleades sobre les tècniques usades per ciberdelinqüents, per a furtar dades i accedir a informació sensible amb un fi il·lícit.

Des d’INCIBE s’ha detectat i reportat una campanya d’enviament de correus electrònics fraudulents que tracten de suplantar al Ministeri de Sanitat, Consum i Benestar Social amb la finalitat de difondre malware.

En la campanya identificada, el correu té com a assumpte: «Urgent – Informació CORONAVIRUS». En el missatge s’informa dels supòsits nous protocols que ha dictat el Ministeri de Sanitat, Consum i Benestar Social amb motiu de la situació actual derivada de la pandèmia de COVID-19 i de la nova declaració de l’estat d’alarma dictada el dia 25 d’octubre. Aquest correu electrònic conté un enllaç en el qual es convida a l’usuari a descarregar la circular del Ministeri amb les noves instruccions. Una vegada que l’usuari ha seleccionat l’enllaç, aquest és redirigit a una pàgina web maliciosa on es descarregarà el malware.

El nom de l’arxiu maliciós és «rnh_Fitxer_ÉS.zip», encara que no es descarta que els ciberdelincuentes puguen usar altres denominacions.

El missatge que suplanta a aquest autoritat és el següent:

El projecte vSOC per a entitats locals, és una eina cedida pel Centre Criptológico Nacional que permet gestionar la seguretat dels ajuntaments des d’un únic Centre d’Operacions de Ciberseguretat (SOC) virtual.

El conseller d’Hisenda ha presentat els detalls de la iniciativa, que servirà d’ajuda a les entitats locals en dues qüestions fonamentals relatives a la seguretat de la informació, com són el compliment de les obligacions legals derivades de l’Esquema Nacional de Seguretat (ENS) i la detecció d’incidents de seguretat informàtica.

El projecte consta de dues fases. En aquesta primera fase, s’ha seleccionat a 10 ajuntaments per la seua grandària, mitjans o xicotets, i per les característiques tècniques de les seues infraestructures per a dur a terme el projecte pilot. En una segona fase i amb els resultats obtinguts, es persegueix poder ampliar l’aconseguisca altres ajuntaments.

Per a la seua posada en marxa, les entitats comptaran amb l’ajuda de CSIRT-CV i es té previst la inclusió del personal d’aquestes entitats en el Pla Valencià de Capacitació en Ciberseguretat que desenvolupa CSIRT-CV, amb la finalitat d’oferir la formació necessària al personal dels ajuntaments i la Diputació.

Més informació en el següent enllaç.

Aquesta segona edició presenta la novetat d’un nou curs, el temari del qual tracta sobre el Reglament General de Protecció de Dades.

Ja es troba disponible la segona edició de microcursos i cursos online de seguretat, que imparteix CSIRT-CV a través de la plataforma SAPS?

El termini de matriculació i realització estarà obert des del 06 de juliol al 13 de desembre de 2020, tots dos inclosos.

En aquesta ocasió us hem preparat un nou curs sobre RGPD. L’objectiu és adquirir els coneixements i destreses necessàries per a la seua correcta aplicació en les labors de recollida, tractament, emmagatzematge i eliminació de dades de caràcter personal.

Us convidem a tots a participar en els cursos que considereu del vostre interés. Acaba l’any estant al dia en temes de seguretat sobre telèfons intel·ligents, malware, correu electrònic, RGPD i compres online, entre molts altres.

Accedeix a la nostra web de conscienciació per a veure tota la nostra oferta formativa: concienciaT