La Generalitat ha llançat una sèrie de recomanacions per tal de recordar a les entitats, tant públiques com privades, quines accions poden dur a terme per evitar que fructifiquin els intents d’estada per Internet coneguts com a frau al CEO.
El director general de Tecnologies de la Informació i les Comunicacions, José Manuel García Duarte, ha assegurat que “davant la informació coneguda aquests darrers dies sobre l’intent d’estafa que ha patit la Corporació Valenciana de Mitjans de Comunicació, considerem de vital importància conscienciar les organitzacions sobre les accions que han de dur a terme per evitar que aquest tipus d’estafes fructifiquin “.
“El primordial ha continuat és conscienciar els empleats i empleades, així com als directius d’empreses i qualsevol altre tipus d’organització de el sector públic i privat, perquè sàpiguen com actuar davant de qualsevol correu electrònic o contacte sospitós utilitzant mitjans electrònics “.
García Duarte ha explicat que, en aquest cas, les bones pràctiques en seguretat de la CVMC (Corporació Valenciana de Mitjans de Comunicació) han permès una detecció primerenca i la seva comunicació a el Centre de Seguretat TIC de la Comunitat Valenciana (CSIRT-CV).
Segons el CSIRT-CV, els i les atacants podrien haver obtingut els comptes de correu suplantades a través de la plataforma de contractació de l’Estat.
Per aquesta raó, García Duarte ha cridat l’atenció sobre la gran quantitat de dades que es publiquen en els plecs de contractació de les organitzacions i ha recordat que és important “no donar més dades de les necessàries en aquest tipus de documentació i plataformes, ja que no sabem qui podria estar llegint ia qui més li podria interessar per a fins il·lícits com la sostracció econòmica “.
El director general assegura que l’intent de frau no ha tingut èxit, però aprofita l’ocasió per “exhortar els responsables de les organitzacions a actuar i divulgar les recomanacions que emet CSIRT-CV entre els seus empleats i empleades”.
Recomanacions davant incidents facilitades
Des CSIRT-CV es recorda que hi ha diversos tipus d’atacs, uns amb major component tecnològic (troians, virus, ‘ransomware’, atacs de denegació de serveis, etc.) i altres, incidents facilitades per la tecnologia, en els quals els ciberdelinqüents s’aprofiten de l’anonimat i el major accés als usuaris que ofereix Internet per cometre fraus o estafes tradicionals només que, ara, emprant mitjans tecnològics com el correu electrònic. Entre aquests últims, es troba el frau a l’CEO.
Els “fraus a l’CEO” consisteixen en fer arribar un correu a un empleat que tingui capacitat per fer transferències o accés a dades de comptes, suposadament enviat per un superior (ja sigui el seu CEO, president o director de l’empresa), urgint-li a realitzar una transferència per a alguna operació financera que sol titllar-se de confidencial i urgent.
Les campanyes més sofisticades, solen venir precedides d’una fase d’investigació, en la qual l’atacant recull informació sobre l’estructura orgànica i funcional de l’empresa o organisme a atacar, per tal de dirigir-se a la persona adequada. Aquesta investigació sol usar fonts públiques de dades per obtenir la informació, raó per la qual és fonamental limitar les dades que es publiquen per qualsevol mitjà.
CSIRT-CV recomana que, un cop es detecti un tipus de correu electrònic d’aquest tipus, cal bloquejar a l’remitent en els servidors de correu per evitar rebre futurs correus electrònics i comprovar que no s’han rebut més en comptes d’altres usuaris.
A més, els usuaris han d’evitar prémer en qualsevol enllaç present en l’e-mail, així com obrir documents de procedència incerta i, sobretot, mai s’ha d’enviar les credencials d’accés (usuari i contrasenya) mitjançant correu electrònic a ningú.
D’altra banda, CSIRT-CV recomana guardar un registre dels e-mails enviats i rebuts, per si es requerís fer una investigació posteriorment, i mantenir una política de contrasenyes robustes entre els empleats i empleades de l’organització.
Des del Centre de Seguretat TIC de la Comunitat Valenciana, es posa l’accent en la conscienciació als usuaris, ja que el punt crític en aquest tipus de fraus és l’operació de canvi de compte bancari, que habitualment se sol fer de dues maneres: mitjançant un correu electrònic que indiqui que un proveïdor, per exemple, ha canviat de compte bancari o mitjançant l’enviament d’una factura amb un nou compte.
En aquesta situació, es recorda que la millor defensa és la procedimental: definir una base de dades amb els comptes autoritzades i que, cada vegada que es va a realitzar un pagament, es compari cada compte amb la informació que es té a la base de dades, no realitzant el pagament si no són coincidents.
Informació i Foto: Generalitat Valenciana