Classic exploiting III: Phishing

Phishing

Els atacs de Phishing són considerats atacs d’enginyeria social, en els quals l’atacant es fa passar per una persona o entitat per tal d’obtenir credencials de la víctima.

Aquest tipus d’atacs han anat en augment durant els últims anys per culpa de la facilitat tècnica dels mateixos i la baixa conscienciació de l’usuari final.

Els atacs de phishing són especialment perillosos en l’entorn empresarial, ja que acostumen a servir com a porta d’entrada a tota la infraestructura de l’empresa. Per aquesta raó, ara més que mai, cal conèixer les bones pràctiques per a identificar aquests tipus d’atacs i evitar caure en l’engany de l’atacant.

Afectació

Explotació

Els atacs de phising es basen en la vulnerabilitat més gran que tenen tots els sistemes TI: les persones. L’atac s’acostuma a preparar de la següent manera:

També cal recordar que els atacs de phishing es realitzen tant per correu electrònic, com per SMS i trucada telefònica.

Com evitar caure en un atac de phishing

A continuació us donem alguns consells per a evitar caure en un atac de phishing.

Hem de procurar estar alerta sempre que rebem un correu inusual que ens demani informació personal, tornar a iniciar sessió a una plataforma o realitzar qualsevol altra gestió que comporti l’ús de dades personals. Encara que creguem que el remitent és una persona de confiança com ara el nostre cap, un familiar o company de feina, els atacants suplanten moltes vegades la identitat d’aquestes persones per a incitar aquesta sensació de confiança i que caiguem en el parany.

Quan rebem un atac de phishing podem arribar a detectar el correu com a fraudulent si notem que la redacció del mateix difereix de com escriu normalment el remitent, per exemple un correu massa formal d’un suposat familiar proper.

Quan un atacant suplanta a google.com, facebok.com o qualsevol altra plataforma personal o empresarial cal fixar-nos molt bé en l’adreça del remitent així com en l’adreça dels enllaços que es troben en el missatge. Els atacants juguen amb noms que s’assemblen molt al domini real, de fet és bastant possible que no t’hagis adonat que facebook.com estava mal escrit al principi d’aquest paràgraf.

Font: https://www.bbva.es/finanzas-vistazo/ciberseguridad/ultima-hora/phishing-suplantando-a-la-agencia-tributaria.html

En la imatge anterior es pot observar un d’aquests casos on es suplanta a l’AEAT amb el domini medidastributaria.es que no pertany a l’AEAT, però ens podem pensar fàcilment que si hi forma part.

Contactar al suposat remitent per una altra via de comunicació per assegurar-nos de la legitimitat d’aquest.

Protegeix-te!

Mantenir l’entorn empresarial segur s’ha convertit en un requisit essencial davant la creixent aparició d’amenaces. Des de level4 oferim la possibilitat de realitzar campanyes de phishing controlades per a conscienciar als usuaris.

Si creieu que podeu ser atacats o necessiteu assessorament en ciberseguretat…