Últimament s'han detectat diversos atacs de pesca dirigida o spear phishing cap a les empreses proveïdores del Servei de Salut de les Illes Balears. Aquests atacs d'enginyeria social són bastant difícils d'identificar perquè van dirigits directament contra les empreses proveïdores i, com a norma general, no passen pels nostres sistemes. Per això, només ens adonam si l'empresa ens reporta l'incident. 

Què és la pesca dirigida o spear phishing i com funciona? 

La pesca dirigida o spear phishing és una estafa per correu electrònic que té com a finalitat robar informació confidencial, com les credencials d'un compte o informació financera de la víctima. Això s'aconsegueix per mitjà de l'adquisició de dades personals de la víctima, com els amics, xarxes socials, llocs a on sol anar o telefonades. Bàsicament, els atacants suplanten la identitat d'un amic o entitat confiable per obtenir informació confidencial, generalment per mitjà del correu electrònic. 

Els atacs de pesca dirigida o spear phishing es dirigeixen a una víctima determinada i els correus electrònics es modifiquen per dirigir-s’hi específicament. Suposadament provenen d'una entitat amb la qual la víctima està familiaritzada i contenen informació personal o financera. Un dels pilars de la pesca dirigida o spear phishing, a diferència de la pesca o phishing, és que els atacants intenten recopilar tanta informació personal sobre les seves víctimes com sigui possible perquè els correus electrònics que envien semblin legítims i així augmentar les possibilitats d'enganyar els destinataris perquè facin clic sobre un enllaç o descarreguin algun arxiu adjunt. El senyal d'advertiment més obvi i en què primer cal fixar-se és una adreça de correu electrònic falsa o una que se sembli a la de la nostra entitat amb faltes ortogràfiques.  

Normalment, els correus electrònics de pesca dirigida o spear phishing es caracteritzen per contenir explicacions urgents perquè el destinatari actuï amb rapidesa. Per exemple, informen que el nostre compte bancari està bloquejat, que tenim una factura pendent de pagament, que la nostra contrasenya està caducada o que el nostre ordinador necessita una actualització urgent per poder seguir funcionant. L'objectiu final és inculcar un sentit d'urgència per fer una tasca usant un llenguatge familiar perquè el destinatari dubti el menys possible.

Com em puc protegir de la pesca dirigida o spear phishing? 

1. Si rebeu un correu electrònic inesperat i d'origen desconegut, n’heu de desconfiar i no l’heu d’obrir. 
2. Analitzau detalladament el correu per intentar identificar qualsevol aspecte sospitós i especialment verificar que els dominis dels correus (@ibsalut.es, @ssib.es, @hsll.es, @hgmo, @hcin, @hman...) són correctes. 
3. Si, així i tot, ja heu obert un correu sospitós, mai no heu de fer clic en els enllaços que contingui ni heu d’obrir cap fitxer adjunt. 
4. No respongueu cap correu sospitós, no faciliteu mai dades personals ni informació sobre els vostres comptes ni faceu cap acció si heu rebut algun tipus de coacció per mitjà d'aquest correu. 
5. Heu de saber que els serveis d'informàtica MAI no sol·liciten que es facilitin contrasenyes. 
6. No heu d’introduir les credencials de Servei de Salut en webs no corporatives. 
7. Utilitzau credencials robustes. Preferiblement han de contenir una majúscula, una minúscula, un número i un caràcter especial. 
8. Les entitats legítimes mai no us sol·licitaran informació personal ni compartir la vostra contrasenya. 
9. Per comprovar que un enllaç és legítim, podeu passar el ratolí sobre l'enllaç (sense clicar) per verificar que realment us redirigirà a una adreça legítima. 
10. Si teletreballau, assegurau-vos que el vostre ordinador personal disposa d'un antivirus actualitzat i té les últimes actualitzacions instal·lades. 

Cal recordar que, si detectau un correu sospitós, heu de notificar-ho immediatament telefonant al CAU o escrivint a l'adreça Aquesta adreça de correu-e està protegida dels robots de spam.Necessites Javascript habilitat per veure-la.. Finalment, i com sempre us traslladam, heu de tenir en compte que la seguretat de la informació és cosa de tots i comença per cadascun de nosaltres. 

Moltes gràcies per col·laborar.  

Servei de Seguretat de la Informació de la Subdirecció de Tecnologia de la Informació

Informació útil i fonts 

• INCIBE – ¿Que es el Spear Phishing? 
• KASPERSKY – Spear Phishing 
• PROOFPOINT - ¿Cómo funciona el Spear-Phishing?