Francesc Xavier Vendrell – Senior Security Consultant

Una de les coses que més insisteixo en les formacions de ciberseguretat que faig a directius i caps de departaments és l’ús de procediments. Una cosa que no necessita tecnologies cares ni especialistes en seguretat informàtica. Simples estratagemes d’anar pas a pas i comprovar-ho tot.

L’Spear Phishing està de moda ja des de fa temps. Intentar que una empresa pagui la factura del seu proveïdor al delinqüent, o que la nòmina no vagi al treballador sinó que s’ingressi al “dolent” està a l’ordre del dia.

No s’ha de pagar “al número de compte que està al final del PDF de la factura” (o en el cos del missatge). Ni encara que el mail vingui “realment” del proveïdor.

Tampoc serveix fiar-se d’un “certificat bancari de propietat del número de compte”. Això es falsifica. Ni tan sols si va acompanyat d’una trucada telefònica “del proveïdor”.

Tot això pot falsificar-se, alterar-se, simular-se… I depèn de com es faci, o a qui hagi compromès, no hi ha eines que ho detectin automàticament.

Però sí pel contrari es crea un “procediment” entre el proveïdor i el client, o entre el departament de RRHH i el treballador, es pot evitar moltíssimes d’aquestes coses… I a un cost casi de 0€.

Posem un exemple en què han compromès el mail del proveïdor (dels més difícils de detectar):

Un “proveïdor” envia una factura per mail. Pot ser que la primera factura sigui correcta, però el “dolent” la torna a enviar alterada amb alguna excusa. El client la paga al número de compte que hi ha en el mail o en el PDF adjunt; no en el número de compte que ja té prèviament registrat. O se li demana que canviï el número de compte de pagament, adjuntant el certificat del banc corresponent. Fins i tot conec casos que el “dolent” ha trucat al “pagador” per confirmar i donar veracitat a les dades noves…

Difícil de detectar per un software o sistema de ciberseguretat en aquests casos… I fins i tot per un humà que verifica el remitent del correu!

Però fem un simple procediment pactat entre PROVEÏDOR/CLIENT:

  • Sempre es paga al número de compte registrat. No a un “nou”
  • Si hi ha canvis, QUI TRUCA SEMPRE és el client, i al número que ja tingui registrat. No s’accepten trucades de qui “canvia les coses”

Amb això evitem la situació que al proveïdor li hagin compromès el correu i puguin alterar-li les dades que envia amb ell; Pot utilitzar-lo per canviar el número de compte, o enviar “certificats bancaris” falsos. I com que el qui truca és el client, al número de telèfon REAL que ja té, el proveïdor podrà confirmar si hi ha canvis reals… O hi ha alguna cosa tèrbola en aquests canvis.

Utilitzar el mateix mitjà (el mail) pot resultar inútil si els “dolents” intercepten el correu. I si el que truca és el que ha alterat les dades, de poc serveix com a prova de veracitat.

Tags