Professional Documents
Culture Documents
teletreball
Octubre 2021
Qui soc ?
Sergi Gil
https://www.linkedin.com/in/sergigil/
_
Index
- Geolocalització
- Si el servei és gratuït, llavors és que el
producte som nosaltres!
Som confiats per naturalesa
o Suplantacions d’identitat
o Robatori de credencials
o Phishing
Prevenció
Prendre consciència
_________
• Revisar i limitar la informació que es comparteix a la web i les
xarxes socials.
• Conèixer els diferents tipus d’atacs i poder identificar-los.
• Tenir actualitzats tots els sistemes, programes i antivirus a
l’última versió.
• Treballar de forma segura i seguint les polítiques de
ciberseguretat.
Atacs d’Enginyeria Social
El ciberdelinqüent aconsegueix
informació de nosaltres, mirant
“per sobre de l’espatlla” des de
una posició propera, mentre que
utilitzem els dispositius
Shoulder Surfing
Es tracta de ‘cercar en
la nostra brossa’ per
tal d’obtenir informació
útil sobre nosaltres o
la nostra empresa
Dumpster Diving
Quin és l’objectiu?
Consisteix en l’enviament de
• Molt variats:
grans quantitats de missatges
o enviaments publicitaris per • Enviaments publicitaris
internet sense haver estat • Maximitzar les opcions d’èxit d’un
sol·licitats. atac de phishing
• Tractar d’infectar el major nombre
Són missatges no desitjats
possible d’equips amb algun
malware
SPAM Correu brossa
Aquest engany, també conegut com a whaling (caça de balenes) perquè es tracta de phishing
dirigit a “peixos grossos", basa el seu funcionament en l'enviament d'un correu electrònic
fraudulent a un empleat d'alt rang, comptable o amb accés a dades sensibles, informació
personal o bancària, fent-li veure que el remitent és el CEO o màxim representant de la seva
organització. Aquest missatge sol demanar ajuda per dur a terme una operació financera
confidencial i urgent.
Si la persona que rep el correu electrònic no se n'adona, podria revelar dades confidencials o
realitzar una transferència urgent.
Frau del CEO
L'objectiu del correu electrònic és extorsionar els destinataris amb un suposat vídeo de
contingut sexual, que s'enviarà a la llista de contactes de la víctima si no introdueix la
quantitat demandada en bitcoins pels ciberdelinqüents.
https://www.osi.es/es/campanas/ingenieria-social/prueba-deteccion-ingenieria-social
_
2. Identificació de Phishing i
Correus maliciosos
Atacs a través del correu electrònic
Malware
_________
• Estafa Nigeriana
• Enganyar i estafar
• Múltiples ganxos: premis de
loteria, herències, ofertes de
feina, xecs regal, multes,
aplicacions falses, etc.
Tendències sobre Phishing
Com detectar correus fraudulents?
El remitent
Remitents desconeguts
DMARC indica als servidors de correu què fer •El marc de polítiques del remitent
quan reben un missatge que sembla que (SPF) permet que el propietari d'un
procedeix de la teva organització, però que domini autoritzi les adreces IP que poden
no supera les comprovacions d'autenticació o enviar missatges en aquest domini.
no compleix els requisits d'autenticació •DomainKeys Identified Mail (DKIM)
indicats en el registre de la política d'DMARC. afegeix una signatura digital a cada
missatge enviat.
L’assumpte del missatge
Comunicacions impersonals
• Com ara: usuari, client, …
• Entitats legítimes solen utilitzar noms i cognoms del destinatari
· Fitxers comprimits.
.zip, .rar, .tar, .tar.gz, .tgz
https://www.virustotal.com/
_
Els Enllaços
https://unshorten.me/
_
Detecció d’enllaços falsejats
- Altres tècniques utilitzades afegeixen “w” al principi del nom o “com” al final,
“wwwdiputaciolleida.cat” “diputaciolleidacom.cat”
https://whois.domaintools.com/
_
CC Y CCO
- Enviament a múltiples destinataris utilitzant l’opció CC (Carbon Copy) o
en copia, enlloc de l’opció de CCO o copia oculta (o BCC, Blind Carbon
Copy, en alguns casos).
- És un dels incidents de fuita d’informació més habituals en una organització.
- El correu electrònic és considerat una dada personal i no podem compartir-lo
sense el consentiment del propietari.
- Podria comportar multes importants a l’empresa.
Altres riscos derivats de l’ús del correu electrònic
https://phishingquiz.withgoogle.com/
_
Per finalitzar
3. Treball en local-remot...
Comportaments perillosos
Els errors més comuns que afecten la ciberseguretat de l'empresa i que has
d'intentar evitar sempre que et connectis amb els teus equips a la feina:
Dispositius externs
Pèrdua
Al ser petits són molt fàcils d’extraviar.
• Esborrat/destrucció segura
Evitar l’ús de Xarxes Socials
Abans hem indicat que el Núvol és una bona opció per evitar l'ús de
dispositius externs que puguin estar infectats i posar en risc la ciberseguretat
de l'empresa.
Tant si els serveis en el núvol que utilitzeu són gratuïts, como si són
corporatius, qualsevol informació sensible o que contingui dades de
l’empresa o dels clients ha de comptar amb unes mesures mínimes de
seguretat, que inclouen el xifrat de les carpetes que els contenen.
Mala gestió de contrasenyes
Només s'han d'utilitzar els mecanismes habilitats per l'empresa per dur
a terme l'intercanvi d'informació. No s’han d'utilitzar serveis com
WeTransfer, Filemail o similars.
Bones Pràctiques
· Guardar la documentació
· Lloc de treball net i ordenat
· Res de post-it amb usuaris i contrasenyes
· Dispositius portàtils (ordinadors, discs durs, USBs, ...)
Programari actualitzat
· Actualitzacions automàtiques
· Software desactualizat és un risc
Sistema operatiu, Navegadors, Programes, etc.
Programari legítim
ANTIVIRUS
Eliminació de software maliciós
Detecció de webs fraudulentes o protecció contra Ransomware
TALLAFOCS
Controlar tràfic des de i cap a Internet
Evita que el malware pugui comunicar-se amb l’exterior i
que atacs procedents d’Internet siguin bloquejats
4. Teletreballar de forma segura
Seguretat bàsica a casa
Topologia d’una xarxa domèstica
Xarxes WiFi Privades
• Domèstiques • Empresarials
Recomanable, utilitzar doble WiFi
Seguretat del Router
Seguretat, seguretat i seguretat. La seguretat millorada és el que més importa quan arriba el moment
d'utilitzar una VPN. Les vostres dades seran encriptades, el que significa que els ciberdelinqüents no podran
accedir-hi.
Anonimat en línia. Si voleu navegar per llocs web amb TOTAL PRIVACITAT, hauríeu d'utilitzar una VPN. La
VPN actua com una màscara que li permet gestionar la connexió de forma anònima en línia.
Accés remot a la xarxa. Després de configurar la VPN, podeu connectar-vos-hi remotament des de qualsevol
lloc amb una connexió a Internet.
Comparteix fitxers a la xarxa. Això és similar a l'últim punt, però després de configurar la vostra VPN, podeu
accedir a compartir fitxers amb altres persones. Això vol dir que els membres de la vostra xarxa podran accedir
i transferir fàcilment els fitxers entre si.
Evitar els filtres d'Internet. En països amb accés a Internet més restrictiu com la Xina, les VPN són
extremadament populars. En part, això es deu als filtres d'Internet que impedeixen als usuaris nadius visitar
comptes de xarxes socials i "difondre dissidència" o opinions que critiquen el govern xinès.
VPN Comercials per Accedir a Internet
Control d’accessos
Ens obre la porta a tota mena de sistemes i serveis
• Ordinadors, telèfon, correu electrònic, administracions, botigues online, webs,
servidors d’arxius, ...
Les credencials consten generalment consta de dues parts:
• Nom d’usuari: ens identifica (nom, alies, correu)
• Contrasenya: ens autentica, amb ella es comprova que som qui diem que som.
És el nostre jo digital.
Atacs a Contrasenyes
1. Força bruta
• Consisteix en endevinar la nostra contrasenya a força de assaig i error.
• Provant diferents combinacions a partir de les nostres dades personals,
fent combinacions de paraules a l'atzar, conjugant noms, lletres i
números, fins que donen amb el patró correcte.
Atacs a Contrasenyes
https://haveibeenpwned.com/
_
https://haveibeenpwned.com/Passwords
_
Atacs a Contrasenyes
Font:NordPass
Temps necessari per craquejar una contrasenya
Contrasenyes: Què NO s'ha de fer
NO s’han de compartir
• Les contrasenyes han de ser secretes, és a dir, no s’han de compartir amb ningú.
• La contrasenya ha de ser intransferible i ningú sota cap concepte ha de saber quina és.
• Si una altra persona coneixedora de la contrasenya fes alguna cosa amb les teves credencials d'accés, podries
ser responsable doncs apareixerà registrat com si ho has fet tu.
NO s’han de reutilitzar
• Utilitzar la mateixa clau per accedir al correu electrònic, xarxes socials, botigues online, etc., no és una pràctica
segura.
• Si un ciberdelinqüent aconsegueix fer-se amb la contrasenya d’un d'aquests serveis, per exemple, per mitjà d'un
phishing o d'una fuita d'informació tots els serveis que utilitzen la mateixa contrasenya es veurien compromesos.
Cada servei ha de tenir la seva pròpia contrasenya d'accés.
Recomanacions per crear una bona Contrasenya
Utilitzar regles mnemotècniques
Recomanacions per crear una bona Contrasenya
El problema
• Hem de gestionar desenes, centenes o milers de contrasenyes.
• Impossible en recordar-nos de totes.
• Reutilitzem la mateixa contrasenya en diversos serveis.
• Les apuntem en llocs no segurs i sense protecció.
La solució
• Utilitzar un gestor de contrasenyes
Gestors de Contrasenyes
Avantatges
• Una única frase mestra per accedir a totes les nostres contrasenyes.
• Contrasenyes xifrades en una caixa forta.
• Disposa de generador de contrasenyes segures.
• Alguns poden ser multiplataforma, de manera que des de qualsevol lloc i des de qualsevol
dispositiu podem tenir accés a totes les nostres credencials d'accés.
Requisits
• La frase mestra ha de ser molt robusta.
• No la hem d’oblidar.
Gestors de Contrasenyes
https://keepass.info/
_
Gestors de Contrasenyes
LastPass
https://www.lastpass.com/es/
_
Gestors de Contrasenyes
• Mecanisme que afegeix una capa extra de seguretat als serveis que requereixen d'usuari i contrasenya per al
seu ús.
• Utilitza una nova clau d'un sol ús. Normalment, vinculat a un telèfon mòbil, per mitjà d'una aplicació específica,
SMS, o altres dispositius coneguts com tokens.
• Sempre que sigui possible s'ha d'habilitar el doble factor d'autenticació per a tots els serveis que s'utilitzen a
Internet.
Exemples de TOKENs
https://www.yubico.com/
_
Novetats Google
Novetats Microsoft
6. Resum i bones pràctiques a
recordar
Resum i bones pràctiques
https://www.incibe.es/
_
https://www.osi.es/es
_
https://www.is4k.es/
_
https://ciberseguretat.gencat.cat/
_
https://internetsegura.cat/
_
Gràcies.