Detalle nota de prensa - Comunica GVA
Hisenda i Model Econòmic
La Generalitat recomana extremar les bones pràctiques en seguretat a entitats públiques i privades per a combatre la ciberdelinqüència
27/10/2020
- El Centre de Seguretat TIC de la Comunitat Valenciana recorda que aquest tipus de frau és una estafa tradicional, només que ara els delinqüents utilitzen Internet
- La recomanació principal és conscienciar els empleats i empleades sobre les tècniques usades per ciberdelinqüents per a robar dades i accedir a informació sensible amb un fi il·lícit
- La recomanació principal és conscienciar els empleats i empleades sobre les tècniques usades per ciberdelinqüents per a robar dades i accedir a informació sensible amb un fi il·lícit
- El Centre de Seguretat TIC de la Comunitat Valenciana recorda que aquest tipus de frau és una estafa tradicional, només que ara els delinqüents utilitzen Internet
- La recomanació principal és conscienciar els empleats i empleades sobre les tècniques usades per ciberdelinqüents per a robar dades i accedir a informació sensible amb un fi il·lícit
La Generalitat ha llançat una sèrie de recomanacions amb la finalitat de recordar a les entitats, tant públiques com privades, quines accions poden dur a terme per a evitar que fructifiquen els intents d'estada per Internet coneguts com a frau al CEO.
El director general de Tecnologies de la Informació i les Comunicacions, José Manuel García Duarte, ha assegurat que "davant de la informació coneguda aquests últims dies sobre l'intent d'estafa que ha patit la Corporació Valenciana de Mitjans de Comunicació, considerem de vital importància conscienciar les organitzacions sobre les accions que han de dur a terme per a evitar que aquest tipus d'estafes fructifiquen".
"El primordial ?ha continuat? és conscienciar els empleats i empleades, així com els directius d'empreses i qualsevol altre tipus d'organització del sector públic i privat, perquè sàpien com actuar davant de qualsevol 'e-mail' o contacte sospitós utilitzant mitjans electrònics".
García Duarte ha explicat que, en aquest cas, les bones pràctiques en seguretat de la CVMC (Corporació Valenciana de Mitjans de Comunicació) han permés una detecció precoç i la comunicació d'aquesta al Centre de Seguretat TIC de la Comunitat Valenciana (CSIRT-CV).
Segons el CSIRT-CV, els i les atacants podrien haver obtingut els comptes de correu suplantats a través de la plataforma de contractació de l'Estat.
Per aquesta raó, García Duarte ha cridat l'atenció sobre la quantitat elevada de dades que es publiquen en els plecs de contractació de les organitzacions i ha recordat que és important "no donar més dades de les necessàries en aquesta mena de documentació i plataformes, ja que no sabem qui podria estar llegint i a qui més li podria interessar per a finalitats il·lícites com la sostracció econòmica".
El director general assegura que l'intent de frau no ha tingut èxit, però aprofita l'ocasió per a "exhortar els responsables de les organitzacions a actuar i divulgar les recomanacions que emet CSIRT-CV entre els seus empleats i empleades".
Recomanacions davant d'incidents facilitats
CSIRT-CV recorda que hi ha diversos tipus d'atacs, uns amb més component tecnològic (troians, virus, 'ransomware', atacs de denegació de serveis, etc.) i uns altres, incidents facilitats per la tecnologia, en els quals els ciberdelinqüents s'aprofiten de l'anonimat i el major accés als usuaris que ofereix Internet per a cometre fraus o estafes tradicionals, però ara emprant mitjans tecnològics com el correu electrònic. Entre aquests últims es troba el frau al CEO.
Els "fraus al CEO" consisteixen a fer arribar un correu a un empleat que tinga capacitat per a fer transferències o accés a dades de comptes, suposadament remés per un superior (ja siga el seu CEO, president o director de l'empresa) que li urgeix a fer una transferència per a alguna operació financera que sol titllar-se de confidencial i urgent.
Les campanyes més sofisticades solen estar precedides d'una fase d'investigació, en la qual l'atacant recapta informació sobre l'estructura orgànica i funcional de l'empresa o organisme que ha d'atacar amb la finalitat de dirigir-se a la persona adequada. Aquesta investigació sol usar fonts públiques de dades per a obtindre la informació, raó per la qual és fonamental limitar les dades que es publiquen per qualsevol mitjà.
CSIRT-CV recomana que, una vegada es detecte un tipus de correu electrònic d'aquest tipus, cal bloquejar el remitent en els servidors de correu per a evitar rebre correus electrònics futurs i comprovar que no se n'han rebut més en comptes d'altres usuaris.
A més, els usuaris han d'evitar prémer qualsevol enllaç present en el correu electrònic, així com obrir documents de procedència incerta i, sobretot, mai s'han d'enviar les credencials d'accés (usuari i contrasenya) mitjançant un correu electrònic a ningú.
D'altra banda, CSIRT-CV recomana guardar un registre dels correus electrònics enviats i rebuts, per si es requereix fer una investigació posteriorment i mantindre una política de contrasenyes robustes entre els empleats i empleades de l'organització.
El Centre de Seguretat TIC de la Comunitat Valenciana posa l'accent en la conscienciació en els usuaris, ja que el punt crític en aquesta mena de fraus és l'operació de canvi de compte bancari, que habitualment se sol fer de dues maneres: mitjançant un correu electrònic que indique que un proveïdor, per exemple, ha canviat de compte bancari o mitjançant l'enviament d'una factura amb un nou compte.
En aquesta situació, es recorda que la millor defensa és la procedimental: definir una base de dades amb els comptes autoritzats i que, cada vegada que es realitzarà un pagament, es compare cada compte amb la informació que es té en la base de dades, i no realitzar el pagament si no són coincidents.
A més, cal prestar molta atenció a les propostes de canvi de compte i, si es necessita fer una crida de verificació des de zero, mai s'ha de telefonar a cap número que figure en cap correu electrònic, sinó el que tinguem en la nostra base de dades o el que figure en la pàgina web oficial de l'entitat que suposadament s'intenta suplantar.
També es recomana establir una estructura de signatura doble per als imports que superen una certa quantitat, ja que sempre resultarà més difícil que fructifique un engany a dues persones que només a una.
Aquest procediment ha de ser de compliment obligat per a tots els membres de l'organització, ja que en molts casos l'objectiu que es vol suplantar és un alt càrrec de l'organització que podria tindre potestat per a saltar-se les restriccions de seguretat o els procediments.
CSIRT-CV és un centre, dependent de la Direcció General de Tecnologies de la Informació i les Comunicacions (DGTIC), que s'ha consolidat com a peça indispensable per a la seguretat corporativa de la Generalitat i per a la conscienciació en ciberseguretat en la societat valenciana.
Des que s'ha posat en marxa publica informació sobre seguretat en la seua pàgina web (consultar a quí, incloent-hi cursos de formació, així com avisos i consells en les seues xarxes socials com Facebook (http://www.facebook.com/csirtcv) i Twitter (twitter.com/csirtcv) i en el portal de conscienciació en ciberseguretat ConsCIENCIA't (concienciat.gva.es).
L'activitat de CSIRT-CV està cofinançada per la Unió Europea, a través del Programa operatiu del Fons Europeu de Desenvolupament Regional (FEDER) de la Comunitat Valenciana 2014-2020.
- La recomanació principal és conscienciar els empleats i empleades sobre les tècniques usades per ciberdelinqüents per a robar dades i accedir a informació sensible amb un fi il·lícit
La Generalitat ha llançat una sèrie de recomanacions amb la finalitat de recordar a les entitats, tant públiques com privades, quines accions poden dur a terme per a evitar que fructifiquen els intents d'estada per Internet coneguts com a frau al CEO.
El director general de Tecnologies de la Informació i les Comunicacions, José Manuel García Duarte, ha assegurat que "davant de la informació coneguda aquests últims dies sobre l'intent d'estafa que ha patit la Corporació Valenciana de Mitjans de Comunicació, considerem de vital importància conscienciar les organitzacions sobre les accions que han de dur a terme per a evitar que aquest tipus d'estafes fructifiquen".
"El primordial ?ha continuat? és conscienciar els empleats i empleades, així com els directius d'empreses i qualsevol altre tipus d'organització del sector públic i privat, perquè sàpien com actuar davant de qualsevol 'e-mail' o contacte sospitós utilitzant mitjans electrònics".
García Duarte ha explicat que, en aquest cas, les bones pràctiques en seguretat de la CVMC (Corporació Valenciana de Mitjans de Comunicació) han permés una detecció precoç i la comunicació d'aquesta al Centre de Seguretat TIC de la Comunitat Valenciana (CSIRT-CV).
Segons el CSIRT-CV, els i les atacants podrien haver obtingut els comptes de correu suplantats a través de la plataforma de contractació de l'Estat.
Per aquesta raó, García Duarte ha cridat l'atenció sobre la quantitat elevada de dades que es publiquen en els plecs de contractació de les organitzacions i ha recordat que és important "no donar més dades de les necessàries en aquesta mena de documentació i plataformes, ja que no sabem qui podria estar llegint i a qui més li podria interessar per a finalitats il·lícites com la sostracció econòmica".
El director general assegura que l'intent de frau no ha tingut èxit, però aprofita l'ocasió per a "exhortar els responsables de les organitzacions a actuar i divulgar les recomanacions que emet CSIRT-CV entre els seus empleats i empleades".
Recomanacions davant d'incidents facilitats
CSIRT-CV recorda que hi ha diversos tipus d'atacs, uns amb més component tecnològic (troians, virus, 'ransomware', atacs de denegació de serveis, etc.) i uns altres, incidents facilitats per la tecnologia, en els quals els ciberdelinqüents s'aprofiten de l'anonimat i el major accés als usuaris que ofereix Internet per a cometre fraus o estafes tradicionals, però ara emprant mitjans tecnològics com el correu electrònic. Entre aquests últims es troba el frau al CEO.
Els "fraus al CEO" consisteixen a fer arribar un correu a un empleat que tinga capacitat per a fer transferències o accés a dades de comptes, suposadament remés per un superior (ja siga el seu CEO, president o director de l'empresa) que li urgeix a fer una transferència per a alguna operació financera que sol titllar-se de confidencial i urgent.
Les campanyes més sofisticades solen estar precedides d'una fase d'investigació, en la qual l'atacant recapta informació sobre l'estructura orgànica i funcional de l'empresa o organisme que ha d'atacar amb la finalitat de dirigir-se a la persona adequada. Aquesta investigació sol usar fonts públiques de dades per a obtindre la informació, raó per la qual és fonamental limitar les dades que es publiquen per qualsevol mitjà.
CSIRT-CV recomana que, una vegada es detecte un tipus de correu electrònic d'aquest tipus, cal bloquejar el remitent en els servidors de correu per a evitar rebre correus electrònics futurs i comprovar que no se n'han rebut més en comptes d'altres usuaris.
A més, els usuaris han d'evitar prémer qualsevol enllaç present en el correu electrònic, així com obrir documents de procedència incerta i, sobretot, mai s'han d'enviar les credencials d'accés (usuari i contrasenya) mitjançant un correu electrònic a ningú.
D'altra banda, CSIRT-CV recomana guardar un registre dels correus electrònics enviats i rebuts, per si es requereix fer una investigació posteriorment i mantindre una política de contrasenyes robustes entre els empleats i empleades de l'organització.
El Centre de Seguretat TIC de la Comunitat Valenciana posa l'accent en la conscienciació en els usuaris, ja que el punt crític en aquesta mena de fraus és l'operació de canvi de compte bancari, que habitualment se sol fer de dues maneres: mitjançant un correu electrònic que indique que un proveïdor, per exemple, ha canviat de compte bancari o mitjançant l'enviament d'una factura amb un nou compte.
En aquesta situació, es recorda que la millor defensa és la procedimental: definir una base de dades amb els comptes autoritzats i que, cada vegada que es realitzarà un pagament, es compare cada compte amb la informació que es té en la base de dades, i no realitzar el pagament si no són coincidents.
A més, cal prestar molta atenció a les propostes de canvi de compte i, si es necessita fer una crida de verificació des de zero, mai s'ha de telefonar a cap número que figure en cap correu electrònic, sinó el que tinguem en la nostra base de dades o el que figure en la pàgina web oficial de l'entitat que suposadament s'intenta suplantar.
També es recomana establir una estructura de signatura doble per als imports que superen una certa quantitat, ja que sempre resultarà més difícil que fructifique un engany a dues persones que només a una.
Aquest procediment ha de ser de compliment obligat per a tots els membres de l'organització, ja que en molts casos l'objectiu que es vol suplantar és un alt càrrec de l'organització que podria tindre potestat per a saltar-se les restriccions de seguretat o els procediments.
CSIRT-CV és un centre, dependent de la Direcció General de Tecnologies de la Informació i les Comunicacions (DGTIC), que s'ha consolidat com a peça indispensable per a la seguretat corporativa de la Generalitat i per a la conscienciació en ciberseguretat en la societat valenciana.
Des que s'ha posat en marxa publica informació sobre seguretat en la seua pàgina web (consultar a quí, incloent-hi cursos de formació, així com avisos i consells en les seues xarxes socials com Facebook (http://www.facebook.com/csirtcv) i Twitter (twitter.com/csirtcv) i en el portal de conscienciació en ciberseguretat ConsCIENCIA't (concienciat.gva.es).
L'activitat de CSIRT-CV està cofinançada per la Unió Europea, a través del Programa operatiu del Fons Europeu de Desenvolupament Regional (FEDER) de la Comunitat Valenciana 2014-2020.