https://static.elcorreo.com/www/menu/img/zurekin-desktop.jpg

Enpresei zuzenduriko posta elektroniko bidezko iruzurrez ohartarazi dute

Internet bidezko iruzurra irudikatzen duen argazkia./Fotolia
Internet bidezko iruzurra irudikatzen duen argazkia. / Fotolia

Zibersegurtasuneko Euskal Zentroak identifikatu du kanpaina berria | Business Email Compromise deituriko eraso hauek 160.000 euroko batez besteko galerak ekarri ahal dizkiete enpresei

Jan Echevarría
JAN ECHEVARRÍA

Euskal enpresei eraso ekonomikoak egitera bideratuta dagoen posta elektroniko bidezko iruzur kanpaina berria identifikatu du Zibersegurtasuneko Euskal Zentroak. Adituen arabera, Business Email Compromise deituriko eraso hauek 160.000 euroko batez besteko galerak ekarri ahal dizkiete enpresei, eta, irailean atzemandakoaren ondoren, azken hilabeteetan detektatutako horrelako bigarren kanpaina da. Izan ere, Ertzaintzak azaroan ohartarazi zuen 40 kasu hantzeman zituela Euskadin, eta, horren ondorioz, euskal enpresek bi milioi euroko galerak pairatu dituzte.

Adituen arabera, horrelako iruzurrek hazten jarraituko dute (%1.300ko hazkundea izan dute 2015etik eta %476koa azken urtean), eta gaur egun tamaina guztietako enpresei eragiten diete. Trend Micro erakundearen zenbatespenen arabera, aurten sortutako galerak 8.000 milioi euro ingurukoak izango dira mundu osoan.

Eraso mota hau aurrera eramateko, lehendabizi posta elektroniko bidez pertsona baten identitatea faltsutzen da. Hori egin ostean, helburua beste pertsona bat engainatzea da iruzurgileak kontrolatutako kontu batera transferentzia ekonomiko bat egin dezan. 'Phishing' motako erasoetan ez bezala, posta elektroniko bidezko erasoak biktima bakoitzarentzat bereziki diseinatuta daude eta posta elektroniko profesionalen itxura dute.

Ikertzaileek helarazi dute, kasu gehienetan, zibergaizkileek enpresen azken albisteak eta langileen sare sozialak aztertzen dituztela, iruzurra ahalik eta sinesgarriena eta pertsonalizatuena izan dadin. Erasoak posta elektronikoz egiten dira, eta, aurretik egindako azterketa lanari esker, spam iragazkiak eta bestelako babesak gainditzen dituzte. Onura ekonomikoaz gain, zibergaizkileen beste helburuetako bat da enpresari ekonomikoki zein ospe aldetik arazoak ekar dakizkiokeen informazio konfidentziala lortzea.

Prebentzio neurriak eta iruzur motak

Zibererasoak prebenitu edota horiei aurre egiteko, funtsezkoa da langileak kontzientziatzea, gai izan daitezen ohiz kanpoko eskaerak identifikatzeko, hala nola fakturekin edo bankuko kontuekin erlazionatutako aldaketak eskatzen dituzten mezuak. Era berean, gomendagarria da enpresek beren langileei eskatzea transferentzia elektronikoen eskaerak beste bide batzuetatik balioztatu ditzatela, esaterako, telefonoz, mezu elektroniko faltsuak saihesteko. Gainera, interesgarria izango litzateke neurri teknikoak ezartzea, hala nola SPF, DKIM edo DMARC delakoak, eta postara sartzeko segurtasun neurri sendoak.

Hala ere, iruzur mota desberdinak daude. Eta nola jokatu behar da horien aurrean? Iruzurra oinarrizko lau modutan ematen da normalean. Lehenengoan, CEO iruzurrean, zibergaizkileek mezu elektroniko bat bidaltzen diote transferentziak egiteko eskumena daukan langile bati, itxuraz enpresako arduradun baten izenean. Horren bidez, zibergaizkileen kontrolpean dagoen kontu batera funtsak bidaltzeko agindua ematen zaio.

Halaber, faktura faltsuaren iruzurrean, erabiltzaile baten kontua konprometitu ostean, zibergaizkileek iraungitzear dagoen faktura bat bilatzen dute postan, gero finantza sailarekin harremanetan jarri eta ordainketa kontua beste batengatik alda dezaten eskatzeko.

Hirugarrenik, abokatuaren identitatea faltsutzeko moduan, zibergaizkilea enpresa baten abokatu taldearen izenean aritzen da eta gatazka bat konpondu edo iraungitako faktura bat ordaintzeko transferentzia bat eskatzen du.

Azkenik, datu lapurreta deritzon iruzurra da zuzeneko funts transferentzia bat eskatzen ez duen bakarra. Datuak lapurtzea da xede nagusia, exekutibo baten posta elektronikoa konprometituz eta informazio konfidentziala bidaltzeko eskatuz.

Jardunaldiak iruzurrak ekiditeko

Euskadi segurtasun arloan erreferente izan dadin eta mehatxu hauen aurrean kontzientziatuta egoteko, Zibersegurtasuneko Euskal Zentroak industria enpresei zuzendutako zibersegurtasun arloko jardunaldiak antolatzen ditu. Gainera, zibererasoen aurreko alerta zerbitzua eman nahi die enpresa eta norbanakoei, bai eta doako aholkularitza ere, zibereraso baten biktima izatekotan.

Arlo honetako kontzientziazio jardunaldi bat antolatzeko interesa duten enpresek mezu elektroniko baten bidez eska dezakete: sensibilizacion@bcsc.eus. Zerbitzu guztiak daude euskal enpresa eta herritarraren eskura www.basquecybersecurity.eus webgunean eta honako helbidean ere eska daiteke informazioa: info@bcsc.eus

Temas

Euskera
 

Fotos

Vídeos