Phishing, una amenaça creixent: Estratègies Essencials de Ciberseguretat

Blog ABAST

Phishing, una amenaça creixent: Estratègies Essencials de Ciberseguretat

7 de maig de 2024

En un escenari on la digitalització dels serveis i processos de les entitats és predominant, el phishing s’ha convertit en una de les tàctiques més emprades pels ciberdelinqüents per infiltrar-se a les defenses de les entitats. A través de correus electrònics astutament dissenyats, llocs web falsificats i missatges enganyosos, aquests actors busquen robar informació sensible i confidencial. Amb estadístiques que mostren un alarmant augment en els atacs de phishing any rere any, la protecció contra aquestes amenaces no és només una opció, sinó una necessitat imperant.

Per Javier Cruz,
Technical CyberSecurity

L’Institut Nacional de Ciberseguretat (INCIBE) ha publicat el Balanç de Ciberseguretat relatiu a l’any 2023, on es reflecteix un increment del 24% dels incidents de Ciberseguretat respecte a l’any anterior i on el Phishing continua sent un protagonista, ja que dels 83.517 incidents de Ciberseguretat gestionats pel CERT d’INCIBE, 14.261 (un 17%) corresponien a atacs de Phishing.

De la mateixa manera, l’anàlisi anual de Kaspersky sobre el panorama d’amenaces de correu brossa i phishing va revelar un augment de més del 40% d’aquests atacs el 2023, arribant a un total de 709.590.011 intents d’accedir a enllaços de phishing.

Aquestes dades continuen sent tan rellevants que considerem essencial que puguis conèixer en què es caracteritza el phishing, com identificar-lo i quines estratègies es poden adoptar per prevenir-lo.

Què és el Phishing?
Tipus de Phishing
Com identificar un intent de Phishing
Estratègies de prevenció
Com respondre a un atac de Phishing
Abast t’ajuda a protegir-te del Phishing

Què és el Phishing?

El phishing és un tipus d’atac cibernètic on els delinqüents es fan passar per una entitat fiable i reconeguda per enganyar les persones i fer que revelin informació personal com ara contrasenyes, números de targeta de crèdit o dades bancàries, entre d’altres. El phishing pot tenir diferents presentacions que veurem a continuació.

Tipus de Phishing

El phishing pot adoptar diferents formes. Coneixerem a continuació les més habituals:

Phising via correu electrònic: Es tracta de la tàctica més comú. El ciberatac arriba mitjançant un correu electrònic que suplanta la identitat d’empreses o organitzacions familiars al receptor. D’aquesta manera, l’usuari creu que és real i realitza l’acció que se li demana per activar el codi maliciós (malware).
Spear Phising: Segueix la mateixa metodologia que el correu electrònic, però en aquest cas no es fa l’enviament de forma massiva, sinó que el missatge està personalitzat amb el nom del receptor. La quantitat d’informació laboral que es pot trobar a plataformes com LinkedIn facilita la feina als hackers per crear un missatge molt més personalitzat i dirigit contra les empreses.
Whaling: És un atac de phishing dirigit a alts càrregs empresarials. Els CEO solen ser habitualment objecte d’aquest tipus de codi maliciós (malware).
Phising de veu o Vishing: L’usuari rep una trucada telefònica per tal d’aconseguir informació sensible o confidencial. És un mètode molt sofisticat, ja que mitjançant la tecnologia de veu sobre IP (VoIP) l’atacant és capaç d’imitar a la perfecció la veu de qualsevol persona, sense posar-ne en dubte la veracitat.
Phising per SMS o Smishing: En aquest cas, l’atac arriba per missatge de text de mòbil o smartphone. De vegades es demana la descàrrega d’una aplicació que fa que s’instal·li el codi maliciós (malware) i es puguin sostreure les dades personals o requereixen la verificació de dades bancàries per fer-se amb ells.
Phising en xarxes socials: En aquesta modalitat, l’atacant pot utilitzar el mateix servei de missatgeria de la xarxa social (com Facebook Messenger o missatges directes de Twitter o Instagram) seguint la mateixa tècnica que els correus electrònics per aconseguir les credencials de l’usuari. Altres vegades es colen en comptes suplantant la identitat i enviant enllaços maliciosos als contactes o seguidors.
QRising: En llegir el codi QR l’usuari queda automàticament infectat pel codi maliciós (malware) donant pas al delinqüent a tota la informació del dispositiu.

Com podeu veure hi ha gran varietat de formes en què els ciberdelinqüents poden actuar. A més d’aquestes, els cibercriminals ja utilitzen la intel·ligència artificial (IA) en els seus atacs, fet que preocupa encaridament la majoria dels experts. A través de la IA poden aparèixer tècniques més sofisticades de phishing. Per exemple, la creació de continguts fraudulents o enganyosos que a primera vista no serien perceptibles per l’usuari. També s’han donat casos de fotomuntatges o vídeos deepfake que busquen extorsionar l’usuari, per al benefici del delinqüent, mitjançant rescats o obtenir informació sensible. O l’ús de tècniques de generació de llenguatge natural (NLG) basades en IA, que imiten la comunicació humana.

Com identificar un Intent de Phishing

Reconéixer un intent de phishing és el primer pas cap a la prevenció. Alguns senyals d’alerta inclouen:

URL sospitoses: És summament important verificar sempre la URL abans de fer clic en un enllaç. Si sembla sospitosa o no coincideix amb l’adreça web oficial del sol·licitant, és probable que sigui un intent de pesca.
Errors gramaticals i ortogràfics: Els missatges fraudulents sovint contenen errors que una comunicació oficial no tindria.
Sol·licituds no requerides d’informació confidencial: Cap organització legítima no demanarà l’enviament d’informació sensible per correu electrònic.
Sol·licituds d’acció immediata: Els estafadors utilitzen el sentit d’urgència per pressionar ràpidament a actuar, evitant que tingui temps per pensar o verificar la legitimitat del missatge. Frases com “El vostre compte serà suspès” o “Necessitem la seva acció immediata” són comuns en aquests intents.

Tipus de fitxers sospitosos: Els atacants sovint adjunten fitxers amb extensions perilloses (com .exe, .rar, .zip) que, en ser oberts, poden instal·lar software maliciós al sistema. Sempre s’ha de verificar amb el remitent per un mitjà alternatiu abans d’obrir un fitxer adjunt si es tenen dubtes sobre la seva veracitat.

Estratègies de prevenció

A nivell empresarial, la conscienciació i la capacitació contínua dels empleats són essencials. Implementar solucions de seguretat robustes i mantenir polítiques de seguretat actualitzades també són passos crucials. Eines com el software antivirus, filtres de correu electrònic, eines de verificació dURL i mecanismes d’autenticació múltiple (MFA) poden oferir capes addicionals de seguretat.

Com Respondre a un Atac de Phishing

Si us trobeu davant d’un possible atac de phishing és vital actuar ràpidament:

No interactuar: No fer clic a enllaços ni descarregar fitxers de correus electrònics sospitosos i altres mitjans de recepció d’informació.
Reportar l’intent: Informar de l’atac al departament de TI i, si és aplicable, l’entitat suplantada.

ABAST t’ajuda a protegir-te del Phishing

ABAST ofereix solucions i estratègies per protegir la vostra organització dels atacs de phishing. Oferim avaluacions de seguretat, campanyes de phishing, conscienciació per al personal, últimes solucions i suport en quant a configuració. Tot això ens permet assegurar que l’entitat estigui preparada per fer front a aquestes amenaces. Els nostres casos d’èxit parlen per ells mateixos i estem a la vostra disposició per ajudar-vos a enfortir les vostres defenses.

Definitivament, en la lluita contra el phishing el coneixement i la prevenció són els millors aliats. En entendre com operen aquests atacs i en implementar estratègies proactives de prevenció i resposta, l’entitat pot navegar amb confiança el panorama digital. Podeu contactar amb nosaltres a través del nostre formulario web per descobrir de quina manera us podem ajudar per no veure-us afectats per aquests atacs en un món cada vegada més digitalitzat i interconnectat.

Conoce más sobre nuestra business unit de ciberseguridad

Últims posts publicats al Blog d'ABAST

Refrigeració en els Centres de Dades: Mètodes i Tendències Actuals

Aquest article explora els mètodes de refrigeració més efectius i les últimes tendències en l'àmbit dels centres de dades

UiPath Communications Mining: Transformant la Comunicació Empresarial

UiPath Communications Mining ens ajudarà a comprendre i actuar amb rapidesa sobre cada missatge que rebem, per a millorar l'experiència dels nostres clients.

Cómo implementar un Data Lakehouse en Azure

Continuamos la serie iniciada con el artículo “Cómo modernizar tu arquitectura de Business Intelligence con Data Lakehouse”. En el anterior artículo hablamos de manera general…

Ver todos

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. Fuera de estas cookies, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.

Necessàries

Sempre habilitat

Les galetes necessàries són absolutament essencials perquè el lloc web funcioni correctament. Aquesta categoria només inclou galetes que garanteixen funcionalitats bàsiques i característiques de seguretat del lloc web. Aquestes cookies no emmagatzemen cap informació personal.

Cookie	Duració	Descripció
_GRECAPTCHA	179 días	Google estableix aquesta galeta. A més de certes galetes estàndard de Google, reCAPTCHA estableix una galeta necessària (_GRECAPTCHA) quan s'executa amb la finalitat de proporcionar la seva anàlisi de risc.
_icl_current_language	23 hours 59 minutes	Aquesta galeta és emmagatzemada pel complement WPML WordPress. El propòsit de la galeta és emmagatzemar l'idioma actual.
_icl_visitor_lang_js	1 days 23 hours 59 minutes	Aquesta galeta és emmagatzemada pel complement WPML WordPress. El propòsit de la galeta és emmagatzemar l'idioma redirigit.
AWSALB	6 days 23 hours 59 minutes	AWSALB és una galeta generada pel equilibrador de càrrega de l'aplicació en els serveis web d'Amazon. Funciona de forma lleugerament diferent a AWSELB.
AWSALBCORS	6 days 23 hours 59 minutes	AWSALB és una galeta generada pel equilibrador de càrrega de l'aplicació en els serveis web d'Amazon. Funciona de forma lleugerament diferent a AWSELB.
cookielawinfo-checkbox-necessary	11 months	Aquesta galeta està configurada pel complement de consentiment de cookies de GDPR. Les galetes s'utilitzen per emmagatzemar el consentiment de l'usuari per a les galetes en la categoria "Necessàries".
cookielawinfo-checkbox-non-necessary	11 months	Aquesta galeta està configurada pel complement de consentiment de cookies de GDPR. Les galetes s'utilitzen per emmagatzemar el consentiment de l'usuari per a les galetes en la categoria "No necessàries".
interdigital_last_visit	1 any	Cookie pròpia funcional, que guarda l'última visita d'l'usuari que no ha acceptat les galetes no necessàries
JSESSIONID	de sesión	Utilitzat per llocs escrits en JSP. Galetes de sessió de plataforma de propòsit general que s'utilitzen per mantenir l'estat dels usuaris en les sol·licituds de pàgina.
viewed_cookie_policy	11 months	La galeta està configurada pel complement de consentiment de cookies de GDPR i s'utilitza per emmagatzemar si l'usuari ha donat el seu consentiment o no per a l'ús de cookies. No emmagatzema cap dada personal.
wpml_browser_redirect_test	de sesión	Esta cookie está configurada por el complemento WPML WordPress y se utiliza para probar si las cookies están habilitadas en el navegador.

No necessàries

Les cookies que poden no ser particularment necessàries perquè el lloc web funcioni i s'utilitzen específicament per recopilar dades personals de l'usuari a través d'anàlisi, anuncis i altres continguts incrustats s'anomenen galetes no necessàries. És obligatori obtenir el consentiment de l'usuari abans d'executar aquestes cookies al seu lloc web.

Cookie	Duració	Descripció
__tad	9 years 11 months 27 days 23 hours 59 minutes	Aquesta galeta és establerta pel proveïdor de contingut de Cnet. La galeta permet al visitant veure el contingut relacionat amb els productes.
_abck	11 months 29 days 23 hours 59 minutes	Aquesta galeta és necessària per a la funció de memòria cau d'Akamai. El lloc web utilitza un cau per optimitzar el temps de resposta entre el visitant i el lloc web. El cau generalment s'emmagatzema en el navegador d'al visitant. Els resultats de l'ample de banda dels usuaris s'emmagatzemen dins d'aquesta galeta per ajudar a garantir que la prova d'ample de banda no es repeteixi per al mateix usuari repetidament per a la funcionalitat de memòria cau d'Akamai. lidad de caché de Akamai.
_ga	2 años	Cookie gestionada per Google Analytics, s'utilitza per calcular les dades de visitants, sessions, campanyes i fer un seguiment de l'ús de el lloc per a l'informe d'anàlisi de el lloc. Les cookies emmagatzemen informació de forma anònima i assignen un nombre generat aleatori per identificar visitants únics.
_gat_UA-203232-1	de sesión	Cookie gestionada per Google Analytics, s'utilitza per limitar la quantitat de dades registrades per Google en llocs web d'alt volum de trànsit.
_gcl_au	3 meses	Cookie de tercers gestionada per Google Adsense, s'utilitza per experimentar amb l'eficiència publicitària a través de les webs usant els seus serveis.
_gid	1 día	Cookie gestionada per Google Analytics, s'utilitza per emmagatzemar informació sobre com els visitants fan servir un lloc web i ajuda a crear un informe analític de com està funcionant el lloc web. Les dades recopilades, inclòs el nombre de visitants, la font d'on provenen i les pàgines, es mostren de forma anònima.
1P_JAR	15 días	Cookie que transfereix dades a Google per fer la publicitat més atractiva.
ak_bmsc	1 hours 59 minutes	Akamai utilitza aquesta galeta per optimitzar la seguretat de el lloc a l'distingir entre humans i brossa
bm_mi	de sesión	Aquesta galeta és necessària per a la funció de memòria cau d'Akamai. El lloc web utilitza un cau per optimitzar el temps de resposta entre el visitant i el lloc web. El cau generalment s'emmagatzema en el navegador d'al visitant. Els resultats de l'ample de banda dels usuaris s'emmagatzemen dins d'aquesta galeta per ajudar a garantir que la prova d'ample de banda no es repeteixi per al mateix usuari repetidament per a la funcionalitat de memòria cau d'Akamai.
bm_sz	3 hours 59 minutes	Aquesta galeta és necessària per a la funció de memòria cau d'Akamai. El lloc web utilitza un cau per optimitzar el temps de resposta entre el visitant i el lloc web. El cau generalment s'emmagatzema en el navegador d'al visitant. Els resultats de l'ample de banda dels usuaris s'emmagatzemen dins d'aquesta galeta per ajudar a garantir que la prova d'ample de banda no es repeteixi per al mateix usuari repetidament per a la funcionalitat de memòria cau d'Akamai.
cke46235	4 years 11 months 29 days 23 hours 59 minutes	No description
cli_user_preference	de sesión	Cookie gestionada pel complement de consentiment de cookies de GDPR, s'utilitza per registrar si l'usuari ha consentit o no l'ús de cookies. No emmagatzema cap dada personal.
GPS	29 minutes	Aquesta galeta és establerta per Youtube i registra una identificació única per rastrejar als usuaris en funció de la seva ubicació geogràfica.
IDE	1 years 23 days 23 hours 59 minutes	Utilitzat per Google DoubleClick i emmagatzema informació sobre com l'usuari utilitza el lloc web i qualsevol altre anunci abans de visitar el lloc web. S'utilitza per presentar als usuaris anuncis que són rellevants per a ells d'acord amb el perfil de l'usuari.
Murloc1E7F499A22BCB76895D3CFC1457841158C13EBD14AE0BB07A4D5EF203CBB3636	23 hours 59 minutes	No description
Murloc723601D66500E59EAFB5DA564D9EDAA8CCCA08083202D9F03D3337E2E060F39A	23 hours 59 minutes	No description
Murloc96EC2C7E0763D4B77B331D042ED23A0AEE9E9649B853D8FB3A6C96912E608487	23 hours 59 minutes	No description
MurlocBA924E8D84880532A8CAC14F070B41719FEFC3E86213E634EEBA66EA72E5D54C	23 hours 59 minutes	No description
NID	6 meses	Cookie gestionada per Google, conté un ID únic que Google utilitza per recordar preferències i altra informació com l'idioma preferit i així crear un perfil en funció de l'interès de l'usuari.
obtga_paso	de sesión	Creada per guardar preferències sobre ús de cookies analítiques de google. Guarda un «Yes» o «No» per saber si has donat permís per guardar i fer servir altres galetes o no vols fer-ho.
SiteMapId	de sesión	No description
SWLOCALE	29 years 11 months 22 days 23 hours 59 minutes	Preferència de configuració regional seleccionada pel visitant.
SWSESSIONID	de sesión	ID visitante en preferencia de configuración regional.
t_rnd2	30 days 23 hours 59 minutes	Aquesta galeta és establerta pel proveïdor de contingut de Cnet. La galeta permet al visitant veure el contingut relacionat amb els productes.
t_sid	de sesión	Aquesta galeta és establerta pel proveïdor de contingut de Cnet. La galeta permet al visitant veure el contingut relacionat amb els productes.
test_cookie	11 months	Cookie de tercers gestionada per DoubleClick de Google, s'utilitza per verificar si el navegador d'el visitant accepta cookies.
VISITOR_INFO1_LIVE	5 months 26 days 23 hours 59 minutes	Youtube estableix aquesta galeta. S'utilitza per rastrejar la informació dels vídeos de YouTube incrustats en un lloc web.
YSC	de sesión	Aquestes cookies són establertes per Youtube i s'utilitzen per rastrejar les vistes de vídeos incrustats.

Phishing, una amenaça creixent: Estratègies Essencials de Ciberseguretat

Blog ABAST