Accés usuari | tiquets

Inici

Escuda

Serveis

Consultoria TIC

GRC i SGSI

Blog

Contacte

Accés | Tiquets

+34 932 906 933
Contacta'ns
+34 932 906 933



És possible evitar atacs a través dels correus electrònics? Com?

    Accepto i he llegit la política de privacitat. Veure política.
    Responsable tractament: ESCUDA SGSI, S.L.
    Finalitat: venda de béns, serveis i comunicació comercial.
    Drets: entre altres, accés, rectificació, supressió a escuda@escuda.cat

    Accepto rebre informació amb finalitats publicitaris i de prospecció comercial, inclòs l'enviament de butlletins i notícies (email, SMS i qualsevol altre mitjà electrònic) sobre promocions i novetats de ESCUDA SGSI S.L. vinculats amb serveis informàtics i ciberseguretat.

    Podem evitar atacs a través del correu electrònic?

    S’acaba el període de vacances i ens veiem obligats a tornar a la cleda: la feina. Encara que treballem “com abans” en els locals de l’empresa o que seguim teletreballant des de casa l’ús del correu electrònic és una constant, tant en la nostra vida professional com personal.

    com evitar atacs per correu electrònic

     En el que portem d’any 2021, el número de ciberatacs ha seguit augmentant, com s’ha vist amb diversos exemples, com el cas del què ha estat víctima l’empresa Kaseya, el passat mes de juliol i que va tenir repercussions en milers d’empreses a tot el món.

    Des del punt de vista de l’empresa, una bona manera de limitar el ciberrisc, és en el fet d’assegurar-nos que complim amb la normativa en temes de protecció de dades de caràcter personal, sobretot les del RGPD. A més a més, és aconsellable que les empreses subscriguin una assegurança de ciberrisc específic.

    En aquest context, la AEPD (Agencia Espanyola de Protecció de Dades) va publicar un artícle donant-nos informació i recomanacions de les “bretxes de seguretat causades a través del correu electrònic i les plataformes de productivitat online”, que ens ha inspirat el present text.

    Començarem per recordar les nocions de les que hem parlat amb anterioritat.

    Ús d’una tècnica ben coneguda: el phishing

     Com bé ens recorda l’AEPD, un correu electrònic de phishing (de l’anglès pescar) o de spear phishing (phishing dirigit) sol ser la font de molts ciberatacs.

    L’agència ens alerta sobre la principal tècnica utilitzada:

    Es tracta d’ atacar una missatgeria virtual via un correu de phishing que convida a l’usuari a clicar en un enllaç i, després, a identificar-se de nou. Aquesta segona acció (clicar de nou per “identificar-se”) permet que l’atacant recuperi les nostres dades d’identificació i contrasenya. Deixant-nos així a la mercè dels ciberdelinqüents.

    Quins són els riscos d’aquests ciberatacs?

     La AEPD ens alerta amb regularitat sobre els diversos riscos relacionats amb el phishing, com ara:

    Exfiltració de les dades de la missatgeria, què pot fer l’atacant?:

    • Exercir un xantatge;
    • Saber més coses dels llaços que hi ha entre els treballadors i / o els seus clients per atacar-los a través d’una campanya de correus de phishing dirigits

    Usurpació de la nostra identitat, el que pot donar peu a:

    • Explotació de directori de contactes i clients;
    • Frau al president (o CEO), donant una falsa ordre de pagament, transferència, etc…

    L’agència afegeix que els cibercriminals també poden explotar aquesta funcionalitat de la missatgeria que permet crear regles automàtiques per crear regles fraudulentes i, per exemple, dissimular els rastres de l’atac.

    Com cal reaccionar davant aquests atacs?

     La AEPD recomana als responsables de tractament seguir els següents passos per limitar les conseqüències d’aquest tipus d’atac

    • Comprendre l’origen de l’atac;
    • En cas de risc elevat per a les dades, el responsable de tractament ha d’informar a les persones afectades per l’atac el més aviat possible (artícle 34 del RGPD);
    • Si l’atac pot ser un risc per als drets i llibertats de les persones afectades, el responsable de tractament ha de documentar la violació i notificar-la a la AEPD en un termini màxim de 72h (artícle 33 del RGPD).

    La AEPD aconsella a les víctimes d’una estafa on line de:

     

    Recomanacions de l’AEPD i de l’INCIBE sobre seguretat de les missatgeries

    Hem de tenir clar que per estar preparats davant de qualsevol d’atac a la nostra missatgeria cal:

    • Sensibilitzar regularment als usuaris, però també als equips de seguretat i d’administració de les oficines, dels riscos i bones pràctiques pel que fa als serveis de missatgeria;
    • Implementar mesures tècniques adaptades.
    Consells ús segur correu electrònic

    Algunes recomanacions més

    5 mesures que hem de tenir sempre al rebre un correu:

    1. No tenir confiança cega en el nom del remitent.
    2. Dubtar dels adjunts, sempre.
    3. Mai respondre a una petició d’informacions confidencials, amb les dades (sempre cal verificar-ho).
    4. Passar el ratolí per sobre els enllaços; anar amb compte amb les lletres accentuades en el text; amb la qualitat del text de l’idioma practicat pel nostre interlocutor.
    5. Parametritzar correctament el programari de missatgeria.

    Recomanacions per a limitar la recepció de correus indesitjables, utilitzar:

    • Mecanismes antispam, per exemple: utilitzar llistes d’autoritzacions, prohibicions definitives o temporals d’adreces IP o de noms de domini;
    • Mecanismes de detecció de contingut

    Parlant de contrasenyes

    Sempre hem de procurar tenir contrasenyes segures:

    • Utilitza una contrasenya única per a cada servei;
    • Modificar sistemàticament i com més aviat millor les contrasenyes per defecte quan els sistemes les requereixen;
    • Renovar les nostres contrasenyes amb freqüència;
    • Escollir una contrasenya llarga (almenys 12 caràcters), que barregi; majúscules, minúscules, xifres, caràcters especials;
    • Utilitzar el mètode fonètic, és a dir, utilitzar una frase per construir la contrasenya; per exemple “Vet aquí una vegada al país de l’oliva i el vi” es pot transformar en Vaq*5pd10iev;
    • No guardar les contrasenyes en un fitxer d’un dispositiu informàtic particularment exposat a riscos.

    Sabem que tot sovint “una missatgeria es veu inicialment compromesa per l’ús d’una contrasenya feble o utilitzada amb anterioritat en un altre servei en línia i que ja s’ha vist atacat”. L’ús d’una contrasenya robusta augmenta la seguretat de les missatgeries.

    Conclusió

    En conclusió, per protegir-nos dels atacs a les nostres missatgeries i lluitar contra aquesta forma de cibercriminalitat, sempre hem d’implementar bones pràctiques i atenir-nos a elles.

    A ESCUDA, tenim una àmplia experiència en el l’ús, configuració i manteniment de diferents sistemes de missatgeria i gestió de correus electrònics. Unit amb la nostra experiència en ciberseguretat, disposem del duo guanyador. A més a més, d’haver desenvolupat mòduls de conscienciació de la ciberseguretat per als nostres clients.

    Creus que tens dubtes en referència a això? Necessites ajuda per conscienciar als teus equips sobre la importància de la (ciber)seguretat? Necessites conèixer quines implicacions té el RGPD per la teva empresa? No dubtis a contactar amb nosaltres trucant al: 931 931 848 o omplint aquest formulari.

     

    Més informació:

    Phishing: Com detectar correus que suplanten l’Agència Tributària?

    Como denunciar un delito informático

    Un mínimo Error, abre una Puerta a la Inseguridad

    #escuda #AEPD #INCIBE #RGPD #Protecciondatospersonales #phishing #spearphising #ransomware #brechasdeseguridad #segurodeciberriesgo #fraudealCEO #seguridadmensajerias #contraseñasseguras

    Submit a Comment

    L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

    T'ha agradat aquest article?

    Comparteix aquesta publicació amb qui tu vulguis