L’enginyeria social representa avui el 98% dels ciberatacs. Per això volem recordar novament què és exactament, perquè pugueu estar preparats i reconegueu a temps qualsevol comunicació fraudulenta.
Què és lenginyeria social?
Es tracta d’un conjunt de tècniques i mètodes de ciberatac que usen els cibercriminals per enganyar els usuaris.
Mitjançant suplantació d’identitat d’un contacte o entitat de confiança per a l’Usuari (exemple, un directiu, una entitat bancària, una entitat pública o qualsevol altre de confiança), intentarà que sigui l’Usuari qui cometi un error i li faciliti informació confidencial, dades personals o fins i tot vies daccés (exemple, links a recursos o plataformes internes, contrasenyes, documentació, etc.).
En aconseguir contactar el cibercriminal directament amb l’Usuari (tant a nivell professional com personal) evita ser detectat per alguns programaris de seguretat que protegeixen els sistemes informàtics de les organitzacions (antivirus i tallafocs).
El cibercriminal que actua per enginyeria social pot estar motivat per diversos interessos:
- Fer-se fàcilment amb contrasenyes daccés a plataformes, aplicacions, bústies de correu i altres tecnologies utilitzades.
- Aconseguir instal·lar un virus o malware a través de links o arxius adjunts infectats, per a això l’Usuari ha de punxar-hi o descarregar-los.
- Fer xantatge a l’empresa, enviant una comunicació amenaçadora i demanant una quantitat de diners a canvi de recuperar el control sobre la informació, evitar que es filtrin dades robades o que el cibercriminal no faci malbé els sistemes o elimini dades dels mateixos.
Com podem evitar-ho? Ho anirem analitzant les properes setmanes, a mesura que us expliquem les diferents tècniques que hi ha (Phishing, Vishing, Smishing) i us donem recomanacions específiques per a cadascuna.
Fins aleshores la regla general és; desconfiar de qualsevol comunicació inusual i fer una “doble comprovació”, és a dir, tallar la conversa i contactar amb aquest suposat remitent per altres mitjans que siguin oficials, per preguntar si el que s’està sol·licitant és real.
NOTA IMPORTANT:
Si tens la mínima sospita sobre una comunicació o creus que has pogut ser víctima d’un ciberatac, no dubtis a comunicar-ho al teu responsable directe, al Responsable de Seguretat CISO i al departament d’IT, perquè et puguin aconsellar adequadament. I a nivell personal denuncia el ciberatac davant de l’ autoritat policial.