Skip to main content

Jardunbide egokiak phishing-aren aurrean

Deskribapena

Phishing izeneko teknika mezu elektronikoen bidalketa masiboan datza. Konfiantzako erakunde baten identitatea hartuta, informazio pertsonala eskuratzen dute. Gizarte ingeniaritzako teknika bat da. Mezuen bidez, jendea engainatzen dute; erantsitako artxiboak edo estekak erabiliz biktimak webgune iruzurtietara bideratzen dituzte, egiazko webguneen itxura bera dutenak. Webgune faltsu horiek datu pertsonalak eskatzen dizkiete, erasotzaileen esku geratzen direnak. 

Helburuak

Phishing erasoen aurreko politika egokia izanda, gure datuak eta identitatea lapurtzea ekidin dezakegu, eta finantza mailako iruzur baten biktima izatea saihestu.

Phishing eraso baten faseak

1. fasea: Zibergaizkileak konfiantzako webgune bat faltsutzen du.

2. fasea: Mezuak zabaltzen ditu medio baten bidez, ohikoena mezu elektronikoak izanda. Berehalako mezularitza, wikiak, foroak, blogak eta sare sozialak dira beste medioetako batzuk. Mezua egiazko erakunde baten –sare soziala, bankua, erakunde publikoa, etab.– izenean bidalia da, eta erabiltzaileei informazio pribatua lapurtzea du helburu.

3. fasea: Biktimak phishing webgunea bisitatzen du. Erabiltzaileak esteka sakatzean, horrek webgune faltsu batera bideratzen du, egiazko webgunearen antz handia duena. Erabiltzaileak, benetako webgunean dagoela pentsatuta, bere datu pertsonalak idazten ditu: izen-abizenak, erabiltzailea, pasahitza, etab.

4. fasea: Datu pribatuen, pasahitzen eta abarren bidalketa. Webgune faltsuak datu horiek guztiak jasotzen ditu, eta gaizkileen eskuetara iristen dira. 

Buenas prácticas frente al phising

Jardunbide egokiak

Phising-aren biktima ez izateko, gomendagarria da neurri hauek hartzea:

1. Mezu elektronikoaren edukia aztertzea:

  • Normalean, aitzakia bat erabiltzen dute erabiltzaileak beraien jarraibideak bete ditzan: arazo teknikoak, berriki iruzurrak hauteman izana eta segurtasun-maila handitzeko premia, segurtasun-politikaren aldaketak, kontuaren ezohiko erabilera eta antzekoak.
  • Era berean, ohikoa da gaizkileen mezuek banku-kontuaren pasahitza eta sarbide-datuak eskatzea, egiazko bankuek halakorik sekula eskatuko ez luketen arren. Gogoan izan: banku-datuen eskaera + datuen pertsonalen eskaera = iruzurra.
  • Mezu elektronikoak ez daude pertsonalizatuta, masiboki bidaltzen dituztelako. Hortaz, “Bezero agurgarria”, “Lagun maitea”, “Erabiltzaileentzako jakinarazpena” eta antzeko hasierako agurrak izan ohi dituzte.
  • Mota honetako phishing mezuen berezitasun bat da akats gramatikalak eta ortografikoak izan ohi dituztela.

2. Mezuaren bidaltzailea, normalean, ez da ordezkatzen saiatzen ari den erakundearen kide. Banku baten ustezko komunikazioa @gmail.com, @hotmail.com edo antzeko amaiera duen posta elektroniko batetik jasoz gero, susmagarritzat jo behar da.

3. Ia phishing motako mezu elektroniko guztiek dute sakatu beharreko esteka bat. Mezuak dakarren estekako testua bertan adierazitako helbidearekin bat datorrela egiaztatu behar da eta, aldi berean, hura egiazko zerbitzuaren URL-arekin bat datorrela. Bankuak bidalitako mezua bada, estekaren helbidea bankuaren webgunera bideratzen duela ziurtatu behar da.

4. Bigarren egiaztatze-faktore bat gehitzea komeni da, erabiltzailearen identifikazioa faktore bakarraren mende egon beharrean, bi faktoreak zuzen bete behar daitezen. Adibidez, erabiltzailearen izena eta PIN bat edo ezaugarri biometriko bat.

5. Webgune gaiztoek ere neurri hori erabil dezaketen arren, egiaztatu behar da webgunearen helbidearen hasiera “https” dela eta segurtasun-giltzarrapoa erakusten duela, horiek bermatzen baitute komunikazioa eta transakzioa babestuta daudela.

6. Pasahitzen administratzailea erabiltzea komeni da, Interneten gure datu pribatuak eta pasahitzak kudeatzeko. Funtsezkoa da web zerbitzu bakoitzerako pasahitz ezberdin bat izatea, saioaren hasieran datuak agerian geratuz gero, zibergaizkileak pasahitz hori gure web zerbitzu guztietan erabiltzen saiatuko baitira.

7. Garrantzitsua da phishing-aren aurkako kontrolak txertatzea: esate baterako, spam-aren edo malware-aren aurkako sistemak, mezuak posta elektronikora iritsi bezain laster eskaneatzeko lan-tresnak dituztenak eta haien jatorria, bidaltzailea, artxibo erantsiak eta abar aztertuko dituztenak.

8. Posta elektronikoa horrela kudeatuz gero, zailago egingo zaie gure identitatea ordezkatzea SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) edo DMARK (Domain-based Message Authentication, Reporting and Conformance) egiaztatze-teknikak erabiliz.

Zer egin phishing eraso baten aurrean? 

  1. Ez sartu webgune batera mezu elektroniko bidez jasotako zalantzazko esteken bidez.
  2. Ez erantzun INOIZ mezu elektronikoen, telefonoaren edo mezu laburren (SMS) bidez egin diezazuketen informazio pertsonalaren eskaerari.
  3. Ziurtatu webguneen helbidearen hasiera “https” dela eta segurtasun-giltzarrapoa erakusten dutela. Hala ere, ezaugarri horiek ez dira nahikoak webgunea konfiantzakoa dela egiaztatzeko, baina helbidearen hasieran “https” irakurtzen ez bada, litekeena da iruzurra izatea.
  4. Artxibo erantsi bat deskargatu aurretik, egiaztatu bidaltzailea ezaguna dela. Ezezaguna bada, ez ireki irudirik eta ez deskargatu artxibo erantsirik.
  5. Phishing eraso baten biktima izan zarela susmatuz gero, aldatu berehala pasahitz guztiak eta jarri harremanetan enpresarekin edo erakundearekin, gertatutakoa azaltzeko.
  6. incidencias@bcsc.eus helbidera idazten badiguzu, zalantzak argituko dizkizugu eta webgunea desagerrarazteko urratsak emango ditugu.

Erreferentziak

https://www.incibe.es/aprendeciberseguridad/phishing

https://www.osi.es/es/banca-electronica

https://www.pandasecurity.com/es/security-info/phishing/

https://es.malwarebytes.com/phishing/

Partekatu

Linkedin partekatu