Com identificar i evitar el Phishing a correus electrònics

Tot i ser una de les tècniques d'enginyeria social i ciberatacs més comuns a la actualitat, el phishing segueix sent un fort vector d'entrada de atac utilitzat per molts ciberdelinqüents. Aquesta tècnica pretén obtenir de manera fraudulenta informació personal o empresarial dels usuaris mitjançant correus i pàgines webs aparentment fiables, on aquests usuaris introdueixen les vostres dades confiant en la vostra legitimitat.

En un butlletí publicat per l'Institut Nacional de Ciberseguretat de Espanya (INCIBE) respecte al Balanç de Ciberseguretat del passat any 2022, van gestionar un total de 118.820 incidents de ciberseguretat, dels quals gairebé 17.000 incidents (un 14% del total) van ser ocasionats per phishing. No és estrany que amb la constant digitalització dels serveis i la ingent quantitat d'informació que els usuaris manegen als seus dispositius, les xifres de phishing s'incrementin el 2023.

Per tot això, és indispensable que hi hagi un coneixement adequat en matèria de ciberseguretat, o una sèrie de pautes a seguir, que ajudin a identificar i evitar ser víctimes d'aquest tipus de ciberatacs.

En allò relatiu al contingut del correu electrònic rebut, és important identificar característiques que serien determinants per a aquest correu, com són: remitent que ho envia, adreça de correu electrònic que utilitza (abans de l'@), domini de l'adreça de correu electrònic (després de l'@) o peu de signatura. Si el cos del correu conté múltiples faltes dortografia o exigeix una urgència o resposta immediates són senyals d'alerta.

Ocasionalment, hi ha fitxers adjunts al correu en qüestió. És fonamental desconfiar de aquests documents, per la qual cosa cal evitar la seva obertura o execució en un principi. Per distingir si es tracta d'un fitxer legítim o no, es recomana com a bona pràctica observar tant el nom del document com el seu extensió.

Si el fitxer té noms genèrics del tipus “nòmines”, “factures”, “documentació” o similars, és un primer punt de partida per sospitar. Normalment quan rebem arxius adjunts en un correu electrònic, solen incloure característiques distintives que ofereixen un detall més gran; com a nom de la empresa que ho envia, tema del document, o any o mes que el relaciona.

Les presses mai no són bones conselleres, si algú et demana alguna cosa per correu i exposa una situació darrera hora o et fica presses perquè accedeixis a un enllaç o facis alguna cosa, desconfia i truca al peticionari a un telèfon que tinguis tu guardat d'ocasions anteriors, mai al que indica al correu.

De l'altra banda, el factor clau didentificació és lextensió. Si s'espera rebre un arxiu d'una extensió en concret, cal assegurar-se que el fitxer adjunt és daquest tipus. Per això, a més de comprovar la icona que ho identifica, es recomana activar la visualització d'extensions al sistema per verificar-ho, també Configurar les aplicacions perquè no s'executin macros de forma automàtica. És una bona pràctica tenir especial precaució amb els fitxers que sol·liciten l'habilitació de macros han de ser descartats, ja que poden contenir ordres que estenguin virus o malware a l'equip o xarxa.

En el cas dels fitxers executables, cal tenir especial cura ja que poden contenir scripts o instal·lar contingut en els sistemes que continguin codi maliciós. Per això, es recomana utilitzar antimalware o eines com ara Virustotal, la qual permet analitzar fitxers descarregats a l'equip previ a executar-los.

Addicionalment, és possible que al cos del correu s'incloguin enllaços externs a pàgines web, les quals poden ser malicioses. Per evitar-ho, s'aconsella atendre la sintaxi del dit enllaç, i, a més, mai fer clic directament en aquest; sinó en el seu lloc escriure manualment ladreça legítima al navegador. De aquesta forma, a més d'evitar el possible phishing s'eviten tècniques com typosquatting on s'inclouen caràcters o símbols a l'enllaç que passen desapercebuts a simple vista.

Si es requereix una confirmació addicional de l'enllaç, es poden fer servir eines com unshorten.me la qual permet veure un missatge escurçat a la seva versió estesa.

En àmbits empresarials, es recomana fer campanyes de phishing simulat amb certa regularitat amb l'objectiu de crear conscienciació directa a la plantilla. El benefici addicional daquesta pràctica és que permet prendre dades estadístiques del nivell de risc que existeix a l'empresa davant de ciberatacs d'aquest tipus, i prendre les mesures adequades sobre la base del risc.

Finalment, es recomana mantenir els sistemes amb els antivirus (especialment amb característiques de XDR) i aplicacions actualitzades en la seva última versió, i instal·lar filtres antispam, així com desactivar la vista prèvia de correus en HTML per als comptes de usuari que es considerin crítiques.

Tot i que tots aquests consells disminueixen exponencialment el perill de caure front a aquest tipus d'amenaces, és fonamental tenir en compte que el phishing cada vegada s'està refinant més; i que l'error humà sempre és un factor a tenir en compte en lús duna eina tan estesa i usada a nivell personal i empresarial com és el correu electrònic.

Tipus de bones pràctiques per no caure al phishing:

1. Revisa el email (tant l'adreça com el domini).

2. Desconfia de assumptes genèrics.

3. No tinguis pressa, si et fiquen pressa desconfia i comprova la situació descrita al correu.

4. Revisa les faltes d'ortografia i gramaticals al contingut del correu.

5. Si no esperes un fitxer en un correu, no l'obris.

6. Si reps adjunts sense fer una revisió detallada del correu.

7. Activa la visualització d'extensions.

8. Verifica amb el teu antivirus els adjunts.

9. No executis macros si tens plena confiança a l'adjunt i al remitent.

10.   No feu clic als enllaços que veieu en un correu, hi pot haver sorpreses, amb els escurçadors utilitza unshorten.me o eines similars.

11. En entorn empresarial, consciència i fes campanyes de phishing simulats.

12. Mantén el teu antivirus actualitzat.

Si necessiteu qualsevol ajuda amb tasques de conscienciació, tens algun dubte o vols fer campanyes de phishing a la teva empresa no dubteu a contactar amb www.zerolynx.com, i sobretot: obriu bé els ulls!

Fco Javier Pérez Sánchez, Consultor de Ciberseguretat