29/09/2015

La seguretat de les nostres dades a internet: el phishing

Josep Lluís Vidal

La setmana passada vaig haver de fer front a un atac de phishing (robatori de dades personals i suplantació d'identitat) a un servidor web. Concretament, l'atacant havia aconseguit explotar una vulnerabilitat en una aplicació web i es va fer amb el control del servidor, pujant i baixant arxius al seu gust.

Realment el seu objectiu era utilitzar aquest servidor com a receptor de les dades personals -entre les que hi havia números de targetes de crèdit, adreces postals i adreces de correu electrònic- de les víctimes que havien caigut en la trampa de facilitar aquestes dades a través d'una petició per correu electrònic.

Una vegada passada la tempesta és inevitable parar-se a pensar en la facilitat amb la que aquest hacker ha aconseguit fer-se amb aquestes dades. I en els problemes que, tard o d'hora, tindran totes les persones que han estat víctimes d'aquesta estafa. És per això que l'article d'aquesta setmana el dedico a explicar una sèrie de consells per tal d'evitar caure en paranys d'aquest tipus i que fer servir els serveis de la xarxa sigui una mica més segur.

Fer servir el sentit comú
Diuen que el sentit comú és el menys comú dels sentits. I, malauradament, així és, sobretot en l'àmbit de la seguretat informàtica i d'internet.

Si mai rebem un correu electrònic en el que algú ens demana que actualitzem les nostres dades per poder continuar amb el servei, desbloquejar-lo o actualitzar-lo, l'hem d'esborrar immediatament. I també ho hauríem de denunciar als Mossos d'Esquadra. Tingueu en compte que una empresa seriosa MAI ens demanarà aquesta informació per correu electrònic. Només ho farà una vegada ens haguem identificat dins de la seva web.

Amb això també hem de tenir molta cura perquè últimament les falsificacions de pàgines web de reconegudes marques han assolit un nivell molt alt. Fins i tot existeix una aplicació amb la que pots fer una rèplica del disseny d'una web en dos minuts. Per tant no ens autentifiquem en el primer lloc que trobem.

Hem de comprovar, primer de tot, que el mail prové de qui diu que prové. Després també seria bo fixar-se en el disseny de la web i en el llenguatge que utilitza. Pel que fa a sortejos, regals, paquets que hem de rebre...el primer de tot és fer-se les següents preguntes: He participat en algun sorteig? Estic esperant algun paquet? Pot semblar una obvietat però moltíssimes persones han caigut en aquest parany. Per mostra, el mal que ha fet el virus de Correos, del que parlo més abaix.

Aquestes pràctiques també són aplicables, per suposat, als dispositius mòbils. Últimament està molt de moda rebre un Whatsapp o un SMS en el que ens informen que hem sigut guanyadors d'alguna cosa però que per aconseguir-la hem de trucar a un telèfon de tarificació especial.

Ús d'una targeta alternativa
Una bona idea és fer servir una targeta de dèbit o crèdit que tingui un saldo limitat i que no estigui vinculada al nostre compte corrent principal. D'aquesta manera, si mai som víctimes d'una estafa, les conseqüències seran limitades. Moltes entitats bancàries ofereixen aquest servei.

Per altra banda cada vegada més comerços exigeixen una autentificació en dos passos per confirmar la compra -sobretot si es tracta d'imports elevats- a través de SMS. Però en molts altres encara és suficient amb introduir el número de la targeta, la data de caducitat i el codi de seguretat (CCV), que són les dades que recopilava el hacker al que feia referència al principi de l'article.

Comprovar que la web és real
Una altra bona pràctica és comprovar que la web on hem d'introduir les dades és real. Una altra vegada hem de recórrer al sentit comú per fixar-nos en el disseny i el llenguatge de la web. Però a banda d'això també hem de comprovar que l'adreça comença per https:// i no per http:// (sense la s). Això indica que estem en un servidor segur. També és important fixar-se que l'adreça és real. Un exemple: no és el mateix http://www.google.es que http://www.googles.es. La segona porta un “s” de més. A més, les pàgines web on es venen productes o serveis tenen algun tipus de certificat digital que trobem normalment al peu de la pàgina.

I sinó, sempre ens queda el recurs de Google: podem fer una cerca del nom de la marca i comparar les característiques de les webs que ens ha trobat el cercador i les de la que tenim dubtes.

El cas del virus de correos
Menció especial mereix aquest cas per la gran quantitat d'usuaris afectats en relativament poc temps.

El conegut com a virus de Correos encripta la informació del disc dur fins al punt que recuperar-la resulta gairebé impossible. Hi ha un precedent similar que segur recordes: el virus de la policia. El de Correos, però, s'ha propagat precisament a través d'una estratègia de phishing: els usuaris reben un mail amb una bona -però no perfecta- simulació de la web de Correos informant que tenen un paquet per recollir però que abans s'ha de fer clic en un enllaç per poder-lo recollir. Si es fa clic al link, el resultat és la descàrrega automàtica d'un virus. A més, l'autor demana el pagament d'una quantitat de diners per poder desbloquejar la informació.

Una vegada més s'hauria d'imposar el sentit comú i fer-nos aquestes preguntes: estic esperant algun paquet? He facilitat jo la meva adreça de mail a Correos en algun moment? No hauria d'haver vingut abans algun empleat de Correos i deixar-me un avís a la bústia (com tota la vida)?

Sobretot és molt important no cedir al xantatge i no fer cap pagament a canvi d'una suposada recuperació de la informació. Primer perquè no hi ha cap garantia que la recuperació es produeixi i, segon, perquè probablement serem víctimes d'una segona estafa: el robatori de les dades i dels diners, ja que el hacker demanarà que el pagament es faci amb targeta, paypal o un mètode similar. Una vegada arribats a aquest punt l'única manera de recuperar l'ordinador (que no la informació) és fer una restauració completa del sistema, que pots fer tu mateix o bé un professional. Ah, i recórrer a una còpia de seguretat que segur tens en algun lloc :-).

Josep Lluís Vidal
Disseny i programació web a solucions360
@jvidalto

Comentaris

No s´han trobat comentaris

Deixa el teu comentari

Les notícies més llegides del dia
Subscripció al butlletí
Vols estar al dia de l´actualitat de ‪la Selva‬? Subscriu-te al nostre butlletí diari:
Enviar
L´opinió de la setmana
Josep Lluís Vidal

Com identificar les estafes a Facebook

Un Land Rover embolicat amb un...
Àdam Bertran

"Torna, oi que tornaràs?"

En el món de l’educació recorres...
Josep Lluís Vidal

L'avís legal de les cookies

L'any 2012 va entrar en vigor via...
Tieta Ratafia & CO

Botiga


Enviar per E-mail
Nom
Email
Missatge
Enviar