1. Mantingues el programari actualitzat: Mantingues actualitzat el programari del teu sistema operatiu, aplicacions i dispositius, ja que les actualitzacions solen incloure pegats de seguretat que corregeixen vulnerabilitats conegudes.

2. Usa contrasenyes segures: Usa contrasenyes segures i úniques per a cada compte, i considera l’ús d’un administrador de contrasenyes per a gestionar-les de manera segura.

3. Usa autenticació de dos factors: Habilita l’autenticació de dos factors sempre que sigui possible, ja que proporciona una capa addicional de seguretat.

4. Usa una solució de seguretat: Utilitza una solució de seguretat, com un antivirus o un EDR, per a protegir els teus dispositius contra amenaces conegudes i desconegudes.

5. Tingues prudència amb els correus electrònics i les descàrregues: Sigues cautelós en obrir correus electrònics i descarregar arxius adjunts, especialment si provenen de remitents desconeguts o sospitosos.

6. Aprèn a detectar phishing: Aprèn a detectar els correus electrònics que només busquen captar les teves dades personals i evita fer clic en enllaços o descarregar arxius adjunts en correus electrònics sospitosos.

7. Usa una xarxa privada virtual (VPN): Usa una VPN per a protegir la teva connexió a Internet i encriptar el teu trànsit de xarxa.

8. Realitza còpies de seguretat de les teves dades: Realitza còpies de seguretat regulars de les teves dades importants en un lloc segur, per a poder recuperar-los en cas d’un atac de ransomware o un altre tipus de ciberatac.

9. Educa als teus empleats: Si ets amo d’una empresa, forma als teus empleats sobre les millors pràctiques de seguretat cibernètica i assegura’t que segueixin els protocols establerts per a mantenir segura la xarxa de l’empresa.

La entrada 9 claus per a protegir la teva empresa d’un ciberatac se publicó primero en LISOT.

Estadístiques i tendències més recents d’Espanya relacionats amb el ciberdelicte i la ciberseguretat:

L’any passat, el 91,8% de les organitzacions espanyoles es van veure compromeses per un o més atacs

L’informe de defensa contra ciberamenaces del CyberEdge Group de 2022 (CDR) va descobrir que, en un període de 12 mesos, nou de cada deu empreses espanyoles van sofrir algun tipus de ciberatac. De totes les organitzacions analitzades mundialment, un 40,7% va declarar ser «víctimes freqüents» en haver de bregar amb sis o més atacs en un any.

Espanya és un dels tres països més atacats per malware orientat a la banca mòbil.

L’informe sobre malware mòbil de Kaspersky revela els països més afectats en aplicacions de banc per a mòbils en 2021. L’estudi va descobrir que el 1,55% dels usuaris espanyols va ser atacat per troians orientats a aplicacions mòbils de bancs. És significativament menys que el percentatge del Japó, país que ocupa la primera posició amb un 2,18%, però més del doble que el de Turquia, amb un 0,71%.

Més d’un 40% de les organitzacions espanyoles es van veure afectades pel *ransomware en 2021

L’informe de Sophos de 2021 sobre l’estat del ransomware revela que va haver-hi moltes organitzacions afectades en els diferents països. Amb un 44%, Espanya es va situar per sobre de la mitjana global del 37%. Segons l’informe, va estar molt per sobre de països com Polònia (només un 13%) o el Japó (15%). Però així i tot es va situar molt per sota dels percentatges de l’Índia (68%) o Àustria (57%).

El xifratge de les dades es va evitar en aproximadament un quart dels atacs

L’informe de Sophos de 2022 sobre l’estat del ransomware indica amb quina freqüència les organitzacions van aconseguir detenir els atacs abans que aconseguissin xifrar les dades. Les empreses espanyoles es van comportar bastant bé, en aconseguir detenir un 26% dels atacs abans que es consumessin del tot. Però va haver-hi països que ho van fer molt millor. Com l’Aràbia Saudita, que va detenir un 62% de tots els intents de xifratge.

Només el 16% de les víctimes va pagar el rescat

Encara que en el 84% dels atacs restants sí que es va consumar amb el xifratge de dades, només un 16% de les seves víctimes va accedir a pagar el rescat exigit. És un percentatge menor que el de molts altres països analitzats. Probablement, la preparació de les organitzacions va ser un factor determinant. Sophos va descobrir que el 73% de les empreses van aconseguir recuperar les dades mitjançant còpies de seguretat.

Els atacs de ransomware van costar a les empreses espanyoles 750 000 $ de mitjana

Sophos revela que el cost derivat del ransomware es va incrementar un 25% entre 2020 i 2021. En 2020, les companyies espanyoles van gastar una mitjana de 600 000 $ com a resultat d’atacs de ransomware. Aquest valor va ascendir a 750 000 $ en 2021. Encara que sembli un valor molt alt, és substancialment menys que la mitjana global, que ascendeix a 1,85 milions de dòlars. Les empreses austríaques van pagar el major compte, amb una mitjana de més de 7,75 milions de dòlars; seguides de les belgues, amb 4,75 milions; i de les empreses de Singapur, amb 3,46 milions.

El 83% de les empreses espanyoles tenen una assegurança de ciberseguretat

Un dels aspectes de major interès tractats per Sophos és la popularitat de les assegurances relacionades amb la ciberseguretat a Espanya. Més de vuit de cada deu empreses espanyoles tenen una política d’assegurances relacionades amb la ciberseguretat, i el 70% de les organitzacions inclouen el ransomware en l’assegurança.

Des de LISOT, com a empresa de ciberseguretat i manteniment informàtic us oferim sistemes, aplicacions i formació a usuari per a incrementar la seguretat dels vostres equips.

La entrada Radiografia de la ciberseguretat a Espanya: estadístiques 2020 -2022 (part I) se publicó primero en LISOT.

Alta

Descripció:

Des de INCIBE s’han detectat diverses campanyes de SMS (smishing) que suplanten a l’Agència Tributària. L’objectiu és que el receptor accedeixi a un enllaç que li redirigeix a una pàgina fraudulenta d’aspecte similar a la legítima per a sostreure les dades de la seva targeta bancària.

En els SMS identificats varia el missatge, però segueixen una estructura comuna. En tots ells, es fa creure a l’usuari que té dret a una devolució, incitant-lo a seguir l’enllaç fraudulent i ingressar les seves dades bancàries.

Recursos afectats:

Qualsevol empleat, autònom o empresa que hagi rebut un missatge suplantant a l’Agència Tributària, sol·licitant dades bancàries.

Solució:

Si ja has accedit a l’enllaç i has donat les teves dades per a rebre el reemborsament, seguint les seves indicacions, procedeix de la següent forma:

1. Contacta al més aviat possible amb la teva entitat bancària per a informar-los del succeït i cancel·lar possibles transaccions que s’hagin pogut efectuar.
2. Si has facilitat també dades personals, com el número de telèfon o el correu, roman atent i revisa per a comprovar que no siguis objecte d’una altra mena de frau per aquests mitjans o que no et suplantin.
3. Finalment, sempre pots denunciar aquesta situació davant les Forces i Cossos de Seguretat de l’Estat (FCSE).

Evita ser víctima de smishing seguint les nostres recomanacions:

• No obris missatges d’usuaris desconeguts o que no hagis sol·licitat, elimina’ls directament. No contestis en cap cas a aquests SMS.
• Tingues precaució en seguir enllaços, encara que siguin de contactes coneguts. Hem de comprovar l’enllaç sempre, situant-nos sobre el per a veure si és el de l’entitat legítima o usant eines per a expandir-lo si està escurçat.
• Si el SMS té fitxers adjunts, serà millor no descarregar-los sense comprovar que coneixem al remitent i confirmar que ens l’ha enviat.
• Revisa la pàgina web i segueix bones pràctiques per a navegar segur. Comprova la URL per a veure si es tracta de l’entitat que esperes i si tenen certificat web. Si no és així, no facilitis cap mena d’informació personal: nom d’usuari, contrasenya, dades bancàries, etc.
• En cas de dubte, consulta directament amb l’entitat implicada a través dels seus canals oficials.

Detalls sobre els SMS:

En els SMS detectats, que suplanten a l’Agència Tributària, amb l’excusa de rebre un reemborsament, s’insta el receptor del SMS a prémer en un enllaç que redirigeix a una pàgina falsa, en la qual se li sol·liciten dades bancàries per a abonar la quantitat.

La pàgina fraudulenta té un disseny molt semblant al de la legítima, per la qual cosa no fa sospitar al receptor de trobar-se davant una web fraudulenta. La manera de comprovar-ho és revisant la URL de la web, que no es tracta del domini legítim, sinó d’un que tracta de simular-lo. La quantitat indicada varia en funció del missatge rebut.

Si l’usuari introdueix les seves dades bancàries, aquests passaran a les mans dels ciberdelinqüents.

Des de LISOT, com a empresa de ciberseguretat, us ajudem a securizar i implementar aquestes bones pràctiques de seguretat en els equips informátics de la vostra empresa.

La entrada SMS fraudulents que suplanten a l’Agència Tributària se publicó primero en LISOT.

Actualment, la majoria de la informació sensible de les empreses es troba en Internet, més específicament en els diferents núvols, encara que tots sabem, que ningú està exempt de sofrir una violació de seguretat informàtica.

Cal tenir present que, a nivell de seguretat informàtica, hem passat de “defensar un castell” (buscàvem que ningú pogués entrar en el nostre sistema informàtic) a “defensar un aeroport” (un sistema obert en el qual només han de poder entrar i sortir les persones autoritzades) i això últim és molt més complex i arriscat.

Cinc consells de seguretat ciberseguretat

1.- Gestiona bé les teves contrasenyes:

No només es tracta de posar una contrasenya difícil quant a longitud, sinó també que no guardi tanta relació amb tu, o almenys, no una relació tan òbvia com el nom del teu gos o la teva data de naixement. El segon, és intentar variar la contrasenya en els diferents portals, si vols pots tenir 5 principals, però no una sola per a tot. En aquest article donem exemples de com crear contrasenyes segures.

2.- No confiïs en el Wifi públic:

No és que no ho puguis utilitzar per a fer alguna consulta, veure un vídeo mentre esperes l’arribada del tren o llegir notícies, però no l’usis en espais d’alt risc, com entrar a la pàgina del banc i fins i tot ingressar en les teves xarxes socials o email.

3.- Actualitza sempre el programari:

A tots ens sembla tediós que cada punt l’ordinador o el nostre lloc web, digui que hem d’actualitzar algun programa, però normalment aquestes actualitzacions busquen crear pegats en bretxes de seguretat que ha deixat lliure la versió anterior i que posa en risc les nostres dades.

4.- No descarreguis tot de qualsevol lloc:

Un mal costum que tenim els cibernautes, és que ens encanta el gratuït i per això sense pensar-ho molt li donem a descarregar. Primer assegura’t que el lloc web o remitent és segur i després descarrega el contingut.

5.- El telèfon mòbil també és un ordinador:

Has de gestionar el teu mòbil, tal com ho fas amb el teu PC. És a dir, descarrega-li un antivirus i cuida els llocs als quals entres amb ell.

Des de LISOT, com a empresa de ciberseguretat i manteniment informàtic us oferim sistemes, aplicacions i formació a usuari per a incrementar la seguretat dels vostres equips.

La entrada Dia Internacional de la Seguretat Informàtica: consells de ciberseguretat se publicó primero en LISOT.

Alta

Descripció:

S’ha detectat una campanya d’enviament de correus electrònics fraudulents de tipus distribució de malware que tracten de suplantar al Banc Santander a través d’una suposada factura electrònica.

Recursos afectats:

Qualsevol empleat, autònom o empresa que rebi un correu com el descrit a continuació o similar.

Solució:

És important que davant el mínim dubte, analitzis detingudament el correu.

Si has descarregat i executat l’arxiu, realitza un escaneig de tot l’equip amb l’antivirus i segueix les instruccions marcades pel mateix per a eliminar el malware. També és recomanable que desconnectis aquest equip de la xarxa principal de l’empresa per a evitar que altres dispositius puguin veure’s infectats.

Per a evitar ser víctima d’aquesta mena d’enganys et recomanem seguir aquests consells:

• No obris correus d’usuaris desconeguts o que no hagis sol·licitat; elimina’ls directament.
• No contestis en cap cas a aquests correus.
• Revisa els enllaços abans de fer clic, encara que siguin de contactes coneguts.
• Desconfia dels enllaços escurçats.
• Desconfia dels fitxers adjunts, encara que siguin de contactes coneguts.
• Tingues sempre actualitzat el sistema operatiu i l’antivirus. En el cas de l’antivirus, comprova que està actiu.
• Assegura’t que els comptes d’usuari dels teus empleats utilitzen contrasenyes robustes i no tenen permisos d’administrador.

A més, és important que realitzis periòdicament còpies de seguretat. Guarda-les en una ubicació diferent i verifica que es realitzen correctament i que saps recuperar-les. D’aquesta manera, en el cas de veure’ns afectats per algun incident de seguretat, podrem recuperar l’activitat de la nostra empresa de manera àgil.

Detalls sobre el correu amb la factura falsa:

La campanya de correus utilitzant una factura falsa detectada suplantant al Banc Santander té com a assumpte els següents patrons:

• 2B6AF4 – EC297 – ha arribat la teva factura – E68C-ABC2
• 38UC674A – 26D52856 – Factura Electronica – 13BC-8C74
• 41352 – FA347 – La teva factura ja esta disponible – B6AB-6CB1
• 6A3723E894 – A1ED9YABE2 – Factura Vençuda – 12EF-CA81
• 8A4576691 – 6CA22CK6A7 – Pagament pendent – F41D-A7J6

L’objectiu d’aquesta campanya és infectar el dispositiu de la víctima amb un malware identificat com Grandoreiro, un troià bancari que podria permetre als ciberdelincuents realitzar accions com manipular finestres, registrar pulsacions de teclat i obtenir direccions del navegador de la víctima, entre altres. En el cos del correu s’avisa a l’usuari que té una nova notificació en la seva àrea de clients, com pot apreciar-se en la següent imatge:

En accedir a l’enllaç es descarrega un arxiu amb extensió .msi contingut en un .zip. En ser executat, automàticament es descarrega un altre arxiu maliciós comprimit en .zip que conté el malware que infecta l’equip.

Des de LISOT, com a empresa de ciberseguretat, us ajudem a securizar i implementar aquestes bones pràctiques de seguretat en els equips informátics de la vostra empresa.

La entrada Campanya de distribució de malware a través d’una factura falsa se publicó primero en LISOT.

Alta

Descripció:

S’ha detectat una campanya d’enviament de correus electrònics fraudulents de tipus phishing que tracten de suplantar a l’Agència Tributària. En aquests correus s’utilitza com a ganxo un reemborsament de 450€, encara que aquesta xifra podria variar.

Recursos afectats:

Qualsevol empleat, autònom o empresa que realitzi habitualment operacions de banca electrònica.

Solució:

Si tu o qualsevol empleat de la teva empresa heu rebut un correu amb aquestes característiques, ignoreu-lo. Es tracta d’un intent de frau.

Si has accedit a l’enllaç i introduït les credencials d’accés al compte bancari, hauràs de modificar al més aviat possible la contrasenya d’accés a la banca en línia, així com contactar amb l’entitat per a informar de la situació. A més, es recomana modificar la contrasenya de tots aquells serveis en els quals s’utilitzi la mateixa.

Si has facilitat les credencials del teu compte financer, recopila totes les proves de les quals disposis (captures de pantalla, l’e-mail, missatges, etc.) i contacta amb les Forces i Cossos de Seguretat de l’Estat (FCSE) per a presentar una denúncia. Com a pautes generals, per a evitar ser víctima de fraus d’aquest tipus es recomana:

No obris missatges d’usuaris desconeguts o que no hagis sol·licitat, elimina’ls directament. No contestis en cap cas a aquests SMS.
Tingues precaució en seguir enllaços, encara que siguin de contactes coneguts. Hem de comprovar l’enllaç sempre, situant-nos sobre el per a veure si és el de l’entitat legítima o usant eines per a expandir-lo si està escurçat.
Si el SMS té fitxers adjunts, serà millor no descarregar-los sense comprovar que coneixem al remitent i confirmar que ens l’ha enviat. Si els hem descarregat, hem d’utilitzar eines com VirusTotal abans d’executar-los.
Revisa la pàgina web i segueix bones pràctiques per a navegar segur. Comprova la URL per a veure si es tracta de l’entitat que esperes i si tenen certificat web. Si no és així, no facilitis cap mena d’informació personal: nom d’usuari, contrasenya, dades bancàries, etc.
En cas de dubte, consulta directament amb l’entitat implicada a través dels seus canals oficials.

Detalls:

La campanya maliciosa detectada suplantant a l’Agència Tributària té com a assumpte “Formulari de reemborsament”, encara que aquest podria variar.

En el cos del correu s’avisa a l’usuari del dret a la devolució de 450€ després d’uns càlculs en l’exercici de l’activitat anual.

Després d’accedir al botó «El seu reemborsament», redirigeix a l’usuari a una web fraudulenta en la qual se sol·licitarà el nom, el codi postal i les dades bancàries.

Una vegada introduïts aquestes dades, si es fa clic en el botó «Continuar», aquests passaran a les mans dels ciberdelincuents.

Des de LISOT, et recomanem aquests articles (I)(II) per a poder evitar aquest tipus d’estafes.

La entrada Campanya de phishing que afecta l’Agència Tributària se publicó primero en LISOT.

Importància:

Descripció:

S’ha detectat una campanya d’enviament de correus electrònics fraudulents de tipus phishing que tracten de suplantar a l’entitat financera Banc Sabadell, encara que no es descarta que puguin suplantar a altres entitats. En aquests correus s’utilitza com a excusa el realitzar un procés de verificació de dades per a desbloquejar el compte i la targeta.

Solució:

La entrada Campanyes de phishing suplantant entitats bancàries se publicó primero en LISOT.

L’any passat va ser, sens dubte, l’any de l’escalada de demandes de ransomware, amb moments notables al llarg de l’any, com el lliurament de 4,4 milions de dòlars per part de Colonial Pipeline, el pagament de 40 milions de dòlars per part de CNA Financial i la demanda de 70 milions de dòlars per part dels ciberatacantes a Kaseya i de 240 milions de dòlars a MediaMarkt.

Què s’ha d’incloure en la llista de verificació de ciberresiliencia d’una empresa?

1. Actualitzar el pla de continuïtat. Comprendre com pot funcionar l’empresa mentre sofreix un ciberatac i l’accés als sistemes pot estar limitat.
2. Treballar en un cas pràctic d’un escenari de crisi per a assegurar que tot el personal coneix les seves funcions i el que s’espera d’ells.
3. Actualitzar la llista de contactes d’emergència en cas de crisi: “A qui trucaràs?”
4. Considerar la cadena de subministrament de tercers i el paper que exerceix en les cadenes de subministrament d’uns altres. Les empreses anteriors i posteriors han de tenir polítiques de ciberseguretat que reflecteixin les seves. Comprovi que continuen complint les normes, i que la teva empresa també ho fa.
5. Donar poder al seu equip de ciberseguretat i als quals ocupen llocs clau. És possible que hagin de fer canvis i reaccionar ràpidament davant un incident a mesura que es desenvolupa.
6. Supervisar els comportaments sospitosos i desconeguts de la xarxa. Es recomana la implementació d’una solució EDR (Endpoint Detection Response) que ajudarà a mantenir als equips centrats en els incidents crítics.
7. 7. Si la teva empresa manca de recursos per a fer front a un incident important, externalitza aquesta responsabilitat crítica. Considera la possibilitat de contractar un proveïdor de serveis gestionats.
8. Dur a terme una formació improvisada de conscienciació sobre ciberseguretat per a tots els empleats que els recordi que no han d’obrir arxius adjunts ni fer clic en enllaços desconeguts o no fiables.

Recordar els deures bàsics:

1. Imposar una política de contrasenyes fortes i segures – o, millor encara, frases de contrasenya fortes.
2. Implantar l’autenticació de dos factors en tots els accessos externs i en tots els comptes amb privilegis d’administrador. Això també hauria de considerar-se per als usuaris avançats que tenen un ampli accés a les dades de l’empresa.
3. Actualitzar i posar pegats ràpidament al software per a eliminar el risc de convertir-se en víctima a causa d’una vulnerabilitat prèviament coneguda.
4. Provar les còpies de seguretat i els sistemes de recuperació de desastres. Assegura’t de mantenir còpies de seguretat offline i en el núvol.
5. Auditoria de l’accés dels usuaris: redueix el risc limitant l’accés als serveis, al programari i a les dades perquè només tinguin accés aquells que ho necessitin.
6. Tanca els ports i detingues els serveis que no s’utilitzen i que proporcionen una porta oberta que pot tancar-se fàcilment.
7. Els sistemes heretats que depenen d’una tecnologia obsoleta han de ser segmentats i mantinguts a distància.
8. Assegurar-se que tots els endpoints, servidors, mòbils i altres estiguin protegits amb un producte antimalware actualitzat i plenament operatiu.

Des de LISOT, com a empresa de ciberseguretat, us ajudem a securizar i implementar aquestes bones pràctiques de seguretat en els equips informátics de la vostra empresa.

La entrada Ara és el moment de comprovar els sistema de ciberseguretat se publicó primero en LISOT.

Un codi QR és un tipus de codi de barres escaneable per dispositius que està dissenyat per a ser llegit i interpretat instantàniament per un dispositiu digital (permeten una fàcil descodificació amb la càmera d’un Telèfon intel·ligent).

Les cadenes de text que es codifiquen en un codi QR poden contenir diverses dades. L’acció que es produeix en llegir un codi QR depèn de l’aplicació que interactua amb aquest codi, i els codis poden utilitzar-se per a obrir un lloc web, descarregar un arxiu, afegir un contacte, connectar-se a una xarxa Wi-Fi i fins i tot realitzar pagaments, entre moltes altres accions.
No obstant això, aquesta versatilitat pot ser una arma de doble tall.

Què és el QRishing? Com es poden explotar els codis QR per a fer phishing?

El terme QRishing deriva del phishing, la tècnica de suplantació d’identitat per a estafes a Internet. En aquest cas el canal utilitzat per a suplantar la identitat és un codi QR. El gran ús d’aquests codis (i el potencial risc d’un ús indegut) no passa desapercebut per als estafadors, que el poden utilitzar per a:

• Redirigir-te a un lloc web maliciós per a robar informació sensible
  Els atacs de phishing no només es propaguen mitjançant correus electrònics, missatges instantanis o textos. Igual que els atacants poden utilitzar anuncis maliciosos i altres tècniques per a dirigir a les víctimes a llocs fraudulents, poden fer el mateix amb els codis QR.
• Descarregar un arxiu maliciós en el teu dispositiu
  Molts bars i restaurants utilitzen codis QR perquè puguis descarregar un menú en format PDF o instal·lar una aplicació que et permet fer una comanda. Els estafadors podrien manipular fàcilment el codi QR per a enganyar l’usuari i fer que descarregui un arxiu PDF maliciós o una aplicació mòbil fraudulenta.
• Activar accions en el seu dispositiu
  Els codis QR poden desencadenar accions directament en el teu dispositiu, i aquestes accions depenen de l’aplicació que els llegeix (de fet, cal anar amb compte amb les aplicacions falses d’escaneig de codis de barres). No obstant això, hi ha algunes accions bàsiques que qualsevol lector QR bàsic és capaç d’interpretar. Entre elles, connectar el dispositiu a una xarxa Wi-Fi, enviar un correu electrònic o un missatge SMS amb un text predefinit o guardar informació de contacte en el dispositiu. Encara que aquestes accions en si mateixes no tenen caràcter maliciós, podrien utilitzar-se per a fer que un dispositiu es connectés a una xarxa compromesa o enviar missatges en nom de la víctima.
• Desviar un pagament o fer peticions de diners
  Avui dia, la majoria de les aplicacions financeres permeten realitzar pagaments a través de codis QR que contenen dades del destinatari dels diners. No obstant això, un atacant podria modificar aquest QR amb les seves pròpies dades i rebre pagaments en el seu compte. També podria generar codis amb sol·licituds de cobrament de diners per a enganyar els compradors.
• Robar la identitat de l’usuari o l’accés a una aplicació
  Molts codis QR s’utilitzen com a certificat per a verificar la informació d’una persona, com el seu DNI o la seva passada de vacunació. En aquests casos, els codis QR poden contenir informació tan sensible com la continguda en el seu DNI o historial mèdic, que un atacant podria obtenir fàcilment escanejant el codi QR. Sense anar més lluny, moltes aplicacions, com WhatsApp, Telegram o Discord, utilitzen a vegades codis QR per a autenticar les sessions dels usuaris i així permetre’ls accedir als seus comptes. Com ja ha ocorregut amb WhatsApp, amb atacs com el QRLjacking, els atacants poden enganyar un usuari suplantant la identitat del servei i enganyant l’usuari perquè escanegi el QR proporcionat per l’atacant.

Consells per a utilitzar els codis QR amb seguretat

1. Abans d’escanejar un codi QR, comprova que no ha estat manipulat; per exemple, verifica que l’adhesiu del QR no tapa cap altra, com l’original.
2. Evita escanejar codis QR trobats a l’atzar o codis en missatges no sol·licitats.
3. Ves amb compte en utilitzar un codi QR per a pagar una factura o realitzar un altre tipus de transacció financera i, si és possible, considera la possibilitat d’utilitzar una altra opció de pagament.
4. Utilitza els codis QR amb la mateixa precaució que els enllaços o arxius adjunts en correus electrònics o aplicacions de missatgeria.
5. Desactiva l’opció de realitzar accions automàtiques en escanejar un codi QR, com visitar un lloc web, descarregar un arxiu o connectar-se a una xarxa Wi-Fi.
6. Després d’escanejar-ho, mira la URL per a comprovar que és legítima. Així i tot, sovint és millor evitar introduir les teves dades d’accés o informació personal en un lloc al qual has arribat a través d’un codi QR.
7. No comparteixis codis QR que continguin informació sensible, com els utilitzats per a accedir a apps o els inclosos en documents i certificats sanitaris.
8. Quan generis un codi QR, utilitza un servei de confiança. Aquest servei també pot verificar que el QR és autèntic i segur.
9. Recorda’t de mantenir les teves aplicacions actualitzades i d’utilitzar un programari de seguretat.

Des de LISOT, com a empresa de seguretat informàtica, podem ajudar-te a incrementar seguretat en la utilització d’Internet des dels diferents dispositius de la teva empresa per a prevenir qualsevol tipus de phishing.

La entrada Estratègies de QRishing (o com es poden utilitzar els codis QR per a robar els teus diners) se publicó primero en LISOT.

1. Visibilitzar els actius

Classificar com a actiu tot el que representa un valor per a l’organització com a estructures físiques (edificis o equipament), digitals (documentació i projectes) i virtuals (reputació i impacte de marca).

Per a cada actiu:

1. Identificar amenaces: Una amenaça és tot el que pot danyar la integritat d’un actiu o la informació que gestiona
2. Reconèixer vulnerabilitats:Les vulnerabilitats són tot el que fa susceptible de danys a un actiu o la informació que gestiona.
3. Contemplar requisits legals: Aquests requisits són les responsabilitats que l’organització té amb tercers com a clients, proveïdors, indústria, entre altres.

2.- Analitzar l’impacte

Conèixer la solidesa de la seva infraestructura.

1. . Identificar els riscos: Qualificar i quantificar la probabilitat que una amenaça pugui danyar els actius d’informació d’acord amb la seva disponibilitat, confidencialitat i integritat.
2. Calcular el nivell de risc: Per a establir prioritats de control per als riscos és necessari calcular el nivell de risc per mitjà de la següent fórmula: (Risc = Probabilitat d’ocurrència * Impacte).

3.- Gestionar del risc

Definir les polítiques per a cadascun dels riscos.

1. Assumir-ho
2. Reduir-ho
3. Eliminar-ho
4. Transferir-ho

Si estàs planejant realitzar una anàlisi de seguretat del teu sistema informàtic, des de LISOT et podem ajudar a realitzar-ho.

La entrada 3 bones pràctiques per a millorar la ciberseguretat se publicó primero en LISOT.