15.03.2023 - 21:40
|
Actualització: 15.03.2023 - 21:45
Fa deu dies, l‘Hospital Clínic de Barcelona va rebre un ciberatac arran del qual es van comprometre 4 terabytes (equivalents a 4.000 gigabytes) de dades que es desaven als servidors de l’hospital. L’Agència de Ciberseguretat de Catalunya va identificar els atacants com el grup cibercriminal Ransom House, que uns dies després es va posar en contacte amb els responsables de l’hospital per extorquir-los i demanar un rescat de 4,5 milions de dòlars en canvi de no publicar les dades segrestades. El govern ja ha avisat que no pagarà cap rescat, de manera que si ens atenim a allò que Ransom House ha fet anteriorment, és probable que les dades robades no es puguin recuperar i siguin explotades il·lícitament. És per això que l’Agència de Ciberseguretat ja ha avisat que cal estar alerta perquè poden augmentar les estafes i demana d’anar amb molta cura.
Això ha passat amb el grup sanitari colombià Keralty, que a final de novembre va rebre un ciberatac de Ransom House i els van segrestar dades privades. Keralty va dir que no pagaria el rescat, i durant les setmanes posteriors els pirates informàtics els van mirar de collar publicant a la seva pàgina de la web fosca part de la documentació robada. Finalment, dilluns, Ransom House va complir l’amenaça i va anunciar a Telegram que publicarien en obert la meitat de les dades robades i que l’altra meitat l’havien venuda, sense especificar a qui.
Per ara no se sap amb exactitud quines són les dades que han robat de l’Hospital Clínic. Quan Ransom House va demanar el rescat, va provar que realment tenia les dades amb una captura de l’arbre del directori principal d’un servidor d’arxius. És a dir, un servidor amb carpetes i arxius de tota mena, no pas un sistema estructurat dedicat a una qüestió concreta. Això afegeix la incertesa sobre el tipus de dades que s’han perdut, i per tant les conseqüències concretes que pot tenir per a les persones i empreses a les quals facin referència les dades.
Experts de l’Agència de Ciberseguretat consultats per VilaWeb avisen que la violació de dades personals pot tenir impactes importants en la vida dels ciutadans, i enumeren una llista d’estafes habituals a partir de dades personals bàsiques. Per exemple, alerten que basant-se en la informació robada podrien enviar missatges de text o correus electrònics per enganyar la víctima i robar dades més sensibles –com un PIN bancari o l’accés a plataformes de compra en línia– o, directament, induir-los a un pagament camuflat amb el missatge. Aquesta mena de ciberestafes, que ja són habituals, podrien ser molt més creïbles i personalitzades gràcies a l’ús d’alguna d’aquestes dades robades.
Els ciberdelinqüents també poden voler robar l’accés als comptes de les xarxes socials o al compte de correu electrònic esquivant el sistema de verificació en dos passos. Per fer-ho, l’estafador demana a la xarxa social de fer un canvi en les credencials d’accés, i la plataforma en qüestió envia un codi a l’usuari real que cal introduir per a completar el procés. És llavors quan l’estafador pot mirar d’enganyar la víctima trucant-li per telèfon i fingint de ser un treballador de la xarxa social i demanar-li el codi. El risc dels comptes robats no es limita al fet de tenir la identitat usurpada, sinó que pot ser una porta d’entrada per a estafar els contactes de la víctima aprofitant que confien en el remitent. Una versió paral·lela d’aquesta estafa seria crear un nou perfil de la xarxa social i aprofitar informació clau que formi part de les dades robades per a donar-li credibilitat; tot, per a enganyar els contactes propers.
De manera similar, pot ser que els ciberdelinqüents utilitzin la informació robada per a suplantar la identitat d’algú altre per demanar crèdits bancaris o targetes de crèdit a una entitat bancària, fer compres en línia o emetre factures falses a nom de la víctima. La suplantació també pot servir per a enganyar altres persones en aplicacions de cites, pàgines de compravenda d’habitatges o plataforma de compres entre usuaris, com ara Wallapop.
Una altra estafa potencial per culpa del robatori d’informació personal és l’anomenat SIM-swapping. És a dir, suplantar la víctima davant la seva companyia telefònica per demanar-ne un duplicat de la targeta SIM. Amb la targeta, l’estafador podria rebre les trucades i els missatges que s’enviïn a aquell número de telèfon, com els típics missatges de verificació quan fem una compra en línia o una gestió a la banca electrònica.
Algú que tingui informació privada d’una persona també pot mirar d’enganyar-la i fer-se passar per algú altre per induir-la a fer un pagament per Bizum o una transferència bancària, creient que els diners aniran a parar a algú proper. Per exemple, algú amb fills pot rebre un missatge d’un telèfon desconegut en què digui que és el fill, que ha perdut el telèfon i la cartera, i li demani d’enviar-li diners.
Estafes en l’àmbit professional
També han d’estar a l’aguait els treballadors de l’Hospital Clínic. Podria ser que entre les dades robades hi hagi informació de proveïdors o empreses que col·laboren amb l’hospital. És per això que hi ha el risc que rebin una trucada d’algú que es faci passar pel servei tècnic, un proveïdor habitual o qualsevol altre servei amb qui tingui relació per a obtenir altres dades personals o per a enganyar el treballador perquè instal·li un programa o una aplicació maliciosos.
Una altra estafa en l’àmbit professional, no necessàriament en treballadors de l’hospital, és la suplantació de la víctima per a dirigir-se al departament de recursos humans de l’empresa on treballa i demanar un canvi en el número de compte bancari on es paga la nòmina. Sovint, aquesta estafa va precedida per un accés il·legítim al correu professional.
En la suplantació, poden arribar a fer-se passar pel cap d’una feina amb la idea d‘ordenar als treballadors que facin un moviment de diners. Aquesta estafa també es pot fer fent-se passar per responsables de compres o financers, o una responsabilitat similar que s’associï a algú que pugui demanar un moviment de diners.
En últim lloc, els experts de l’Agència de Ciberseguretat alerten que si les contrasenyes estan basades en dades personals, com el nom d’un fill, la data de naixement, el DNI, el número de telèfon o la població d’origen, es poden arribar a deduir.
Recomanacions per a evitar estafes
Totes aquestes estafes són mètodes que els cibercriminals ja fan servir, però l’accés a dades privades arran del robatori pot fer que augmentin. És per això que l’Agència de Ciberseguretat ofereix consells per a evitar l’atac, si el rebem:
—En primer lloc, cal anar amb compte amb els correus electrònics que es reben, tant a les adreces de correu personals com a les professionals. Moltes d’aquestes estafes es basen en el robatori de credencials, de manera que es recomana no clicar enllaços ni obrir arxius adjunts que no sabem del cert què són. En aquest sentit, val la pena recordar que la filtració de dades personals pot fer que els missatges falsos siguin més creïbles.
—Aquests atacs també poden arribar al telèfon mòbil. Cal estar atent amb els missatges SMS amb enllaços o codis no demanats, i no s’han de proporcionar dades personals a desconeguts. També s’ha de sospitar de les trucades que demanin dades d’algú que s’identifiqui com a treballador de serveis habituals, com el banc, el gimnàs, el metge o una escola d’idiomes, per exemple. Si això passa, val més penjar i trucar directament al servei en qüestió per confirmar l’autenticitat de la trucada i si realment els requereixen aquesta informació per telèfon.
—En termes generals, davant el dubte d’una possible suplantació, cal cercar la confirmació en la font oficial. Pot ser telefònicament, però també a la pàgina web o a l’aplicació del servei en qüestió. Molts serveis avisen preventivament que no envien mai codis per SMS o al correu electrònic si en aquell moment no es fa una gestió específica que ho requereixi, com en una transferència o el pagament d’una compra en línia.
—També cal estar atent si hom té un rol destacat en la seva organització. Si algú diu que li ha enviat una informació en concret per correu electrònic o al mòbil i no té constància d’haver-la demanada ni encaixa en el funcionament habitual, cal sospitar-ne i verificar de quina comunicació es tracta exactament, en dia i hora. Podria ser un tràmit normal o podria ser producte d’una suplantació del rol.
—Si les contrasenyes són senzilles o es poden deduir amb facilitat a partir d’informació personal, convé canviar-les. També és important recordar que no s’han de compartir les contrasenyes personals ni els codis de seguretat, perquè la comunicació podria arribar a algú diferent de qui pensem.
—Finalment, és una bona tècnica fer cerques periòdiques de dades personals específiques (nom i cognoms, número de telèfon mòbil, adreça o fotografia) per a comprovar que no hi hagi comptes de xarxes socials que ens suplantin davant dels contactes propers.