Phishing eraso bat simulatzen dugu, gure taldea kontzientziatzeko ariketa gisa.

“Ni ez naute hain erraz engainatuko”.

Askotan entzuten dugu hori gure inguruan. Uste dugu ez dela erraza pasahitzak lapurtzea edo gure sisteman sartzea. Baina hackeatzeko trikimailuak ia konturatu gabe erortzeko eginak daude.

Horregatik da hain garrantzitsua gure taldea informatuta eta prestatuta edukitzea, zibererasoak saihesteko eta enpresan nahigaberik ez izateko.

Duela aste batzuk proba bat egin genuen GRUPO GISMAn. Gure lankideei ‘zibertranpetan’ zein erraz eror gaitezkeen ulertarazteko modurik onena iruditu zitzaigun.

Denbora bat daramagu GRUPO GISMAren barruan segurtasun-kultura sustatzen. Baina kontzientziazio-ariketa horrek balio izan zuen enpresa osoari modu praktikoan erakusteko kalteberak izan gaitezkeela, erne ez bagaude.

Nola egin genuen phishing simulazioa?

Ekipo informatikotik, eta INCIBE Espainiako Zibersegurtasun Institutuaren tresnetan oinarrituta, iruzurrezko mezu elektroniko bat sortu genuen, normalean bidaltzen ditugun mezuak simulatzen saiatzen zena. Erakundeko pertsona guztiei bidali genien, gakoak sartzeko klik egin behar zuten esteka batekin.

Horretarako, aldez aurretik barne-aplikazioaren kopia bat sortu genuen, pertsonei zuzendu behar geniena, erabiltzailea eta pasahitza sar zitzaten. Itxarotea besterik ez zegoen engainuan nor erortzen zen ikusteko, bere gakoak iruzurrezko aplikazio horretan utziz.

Phishing simulakroa martxan zegoen.

Baina, zer da phishing-a?

Phishing-a nortasuna ordezteko eraso bat da, eta erasotzailea beste pertsona, sail edo enpresa baten itxura hartzen saiatzen da, ondoren etekina ateratzeko zerbait lortzeko. Normalean, sarbide-kredentzialak, erabiltzaile bat eta pasahitza edo txartel-zenbaki bat bilatzen dituzte.

Hau ingeniaritza sozialean oinarritzen da: Ordenagailu bat engainatu ezin dutenean, datu horiek ezagutzen dituzten erabiltzaileak engainatzen saiatzen dira datu horiek lortzeko.

Benetako eraso bat izan balitz…

Erasotzaile batek gure lankide baten pasahitza lortu izan balu, oso ondorio negatiboak eragin zitzakeen:

Erasotzaile batek kontu baten gakoak lortzen dituenean, bere postara sar daiteke, bere lan-jarduerari, lankidetzei, bezeroen informazioari edo plan estrategikoari buruzko informazio estrategikoa irakurtzeko. Eta zer probetxu atera diezaioke informazio horri? Batzuetan, lehiakideei saltzea bilatu dezake. Edo xantaia egitea erasotako enpresari sari bat eskatuz, ez argitaratzearen truke.

Gako horiekin, erasotzaileak beste aplikazio batzuetara edo sare sozialetako kontuetara jo dezake, irudi korporatiboa ahultzeko ekintzak gauzatzeko. Finantza-saileko datuak eskuratuz gero, enpresaren bezeroei ere iruzur egin diezaieke.

Baina ez hori bakarrik. Gainera, gure lankideetako batek iruzurrezko mezuaren estekan klik egin izan balu, bere ordenagailuan instalatu eta enpresako gainerako ekipoak infektatuko lituzkeen software bat deskargatu ahal izango zen, erakundearen informazio guztia zifratuz. Kasu horietan, erasotzaileak erreskate bat eskatu ohi du askatzearen truke.

Horren ondorioz, enpresa batzuek ezin izan dute beren jarduerarekin jarraitzeko behar zuten informazioa berreskuratu, eta itxi egin dira.

Nola jakin dezaket phishing eraso bat jasaten ari naizela?

Beti daude jasotako posta susmagarria dela adieraz diezaguketen aztarnak. Gure kasuan, posta-kontua ez zen korporatiboa, Gmailen kontua baizik. Postaren sinadura ez zen normalean erabiltzen dugunaren antzekoa. Eta barne-aplikaziorako lotura ez zen ohikoa.

Mezu elektroniko mota hauen ezaugarri diren gauza susmagarri batzuk:

  • Pasahitza sartzea edo saioa hastea eskatzen digute. Normalean, paketeria-zerbitzuetatik, harpidetza-zerbitzuetatik, gas- edo elektrizitate-konpainietatik datozen emailak direla simulatzen dute.
  • Testuak ortografia-akatsak edo karaktere arraroak ditu. Batzuetan eraso horiek beste herrialde batzuetatik datoz eta itzulpenak akatsen bat du.
  • Izena jartzen ez saiatzeko formulak erabiltzen dituzte, hala nola, “kaixo”, “erabiltzaile estimatua”, “zergadun fisiko estimatua”.
  • Zerbait premiaz egitea eskatzen da, ekintza berehala gauzatzen saiatzeko, eskatzen dena berrikusteko denborarik gabe: “hala egiten ez baduzu, kontua ezeztatuko zaizu”.

Askotan, horrelako emailak zuzenean spam karpetara joaten dira. Baina, iruzurrean ez erortzeko, mezu susmagarrietan arreta jartzea komeni da, gomendio hauei jarraituz:

  • Ez egin klik berehala estekan. Gainetik igarotzean, helmugako URLa ikus dezakezu eta webgune ofiziala den egiaztatu.
  • Batzuetan URLa bit.ly motako tresnekin laburtzen dute eta ezin duzu estekaren azken helmuga jakin. Kasu honetan, Interneteko webgune batzuek zure ordez berrikusi dezakete.
  • Berrikusi bidaltzailearen emaila. Batzuetan, igorlearen izena aldatu ahal izan dute, baina domeinua ezin dute aldatu.

Posta, edozein zerbitzutara sartzeko atea

Zure postako pasahitzak ezagututa, beste edozein zerbitzu edo aplikazioren pasahitza gogorarazteko eska daiteke. Beraz, posta da, ia beti, edozein zerbitzutara sartzeko atea.

Horregatik, hau gomendatzen dugu:

  • Ez partekatu pasahitzak, ezta lantalde beraren barruan ere. Agian zure postako bera da, eta gogoratu hor beste pertsona batzuek ikusi behar ez duten informazioa duzula.
  • Autentifikazio-faktore bikoitza aktibatu. Faktore honek zerbitzu batean sartzeko zenbait urrats barne hartzen ditu. 1. urratsa erabiltzailea eta pasahitza adieraztea izaten da. 2. Urratsak beste gailu batetik ekintza bat egitea dakar, hala nola mugikorrean jasotako gako bat sartzea edo kodeak sortzen dituen aplikazio bat erabiltzea. Beste urrats bat sar daiteke, adibidez, aztarna digitala markatzea.
  • Ez erabili pasahitz berberak zerbitzu guztietarako. Horretarako pasahitzen kudeatzaile bat erabil dezakegu. Normalean, zure ekipoan edo Interneten izan dezakezun aplikazioa da. Zerbitzu segurua dela ziurtatu behar da, eta pasahitz oso indartsua erabili.

 

Zibererasoak taldearen kontzientziaziorako barne-formazioak antolatzeko bidea eman zigun, eta orain, phishing gertakari bat gertatuz gero, askoz zailagoa izango da haiek engainatzea.

Baina badira beste zibereraso mota asko ere. Albiste ona da azken gomendio hauei jarraituz saihestu ditzakegula:

  1. Phishing-erasoetan ez erortzea, esteketan klik egitea saihestuz (begiratu norantz jotzen duten klik egin aurretik).
  2. Enpresako ekipoak gai pertsonaletarako tokiak bisitatzeko ez erabiltzea. Orrialde ez hain seguruetan sar gintezke.
  3. Fitxeroen luzapenak gure ordenagailuan erakustea. Batzuetan, testu-fitxategiak direla simulatzen duten programa exekutagarriak instalatzen dira, eta konturatu gabe klik egin dezakegu.
  4. Informazio garrantzitsuaren segurtasun-kopiak egiten direla ziurtatzea.
  5. Programa bat instalatu behar badugu, fidagarria dela ziurtatu eta gune ofizialetik deskargatu.
  6. Ekipoa eguneratuta edukitzea.
  7. Ez klikatu eskatu ez dugun zerbait instalatzea edo eguneratzea eskaintzen duten leiho emergenteetan.

Zalantzarik baduzu, jarri harremanetan konpromisorik gabe. Gure ekipo informatikoak lagunduko dizu.

Telefonoz deitu 943.28.75.01 telefonora edo, nahiago baduzu, bidali mezu elektroniko bat grupogisma@grupogisma.com helbidera.