Recentment, l’Equip de Resposta a Incidents del Centre Criptològic Nacional (CCN-CERT) ha anunciat que havia detectat una campanya de pesca de credencials (phishing) contra el sector sanitari enfocada a robar credencials. La metodologia de l’atac sol ser per mitjà de la tècnica de correu electrònic anomenada “falsejament d'identitat” (spoofing), que consisteix a enviar un correu simulant que el remet un compte diferent a fi de confondre el receptor i fer que confiï en l’autenticitat del missatge.
Un altre risc habitual relatiu al correu és la reutilització de contrasenyes. El mes de maig de 2016 es va saber que 164 milions de comptes de correu i contrasenyes de Linkedin varen ser objecte de hacking. El desembre del mateix any va aparèixer una llista de comptes i contrasenyes coneguda com a “anti Public” que contenia 458 milions de comptes de correu, relacionats amb les contrasenyes de múltiples llocs que havien estat atacats per hackers. Els atacants les varen utilitzar per intentar accedir a altres llocs en línia on el propietari del compte hagués pogut reutilitzar-les.
Per reduir els riscos de patir phishing i hacking en els comptes de correu corporatius, cal recordar el que estableix l’apartat 11 (“Ús del correu electrònic i de l’agenda”) del Codi de bones pràctiques del Servei de Salut en l’ús dels sistemes d’informació i en el tractament de les dades de caràcter personal:
- El correu electrònic i l’agenda proporcionats pel Servei de Salut estan destinats a l’ús professional, ja que són eines de treball.
- Quan es reenviïn correus electrònics que hagin estat dirigits a diversos destinataris, cal evitar difondre les adreces electròniques dels destinataris del missatge original esborrant aquesta informació del missatge enviat, si és necessari.
- Abans d’obrir un missatge de correu electrònic s’ha d’intentar detectar si es tracta d’un missatge de procedència dubtosa o desconeguda analitzant-ne la capçalera. En cas de dubte, s’han d’esborrar els missatges sospitosos sense obrir-los o bé consultar el suport tècnic.
- Per evitar el correu massiu no sol·licitat —denominat “correu brossa” o, en anglès, spam—, com a regla general només s’ha de facilitar l’adreça electrònica a persones conegudes. No es pot introduir l’adreça electrònica en fòrums o pàgines web no institucionals. Quan es rebin correus electrònics desconeguts o no sol·licitats no s’han de contestar, ja que en fer-ho es confirma l’adreça.
Per aquesta raó, l’Oficina de Seguretat del Servei de Salut vol aprofitar aquest butlletí de seguretat per insistir en aquests aspectes:
- Recordam a tots els usuaris dels sistemes d’informació del Servei de salut que no utilitzin els seus comptes de correu corporatiu per a finalitats no professionals.
- No proporcioneu mai contrasenyes o informació sensible des d’un web al qual hagueu accedit clicant en un enllaç rebut per correu.
- Evitau reutilitzar contrasenyes en comptes diferents, ja que atesa la informació disponible a la xarxa es podria associar la identitat corporativa amb un compte atacat per hackers.
- Heu de tenir precaució a l’hora de donar informació sensible sobre la vostra activitat laboral. Les dades que proporcioneu a les xarxes socials poden permetre a un atacant dirigir l’atac (pesca dirigida o spear phishing).
- Si detectau un incident de seguretat, informau-ne mitjançant el servei de suport indicant els detalls que us hagin duit a sospitar-ne i prestau la col·laboració necessària per resoldre’l.
Gràcies a aquestes bones pràctiques disminuirem el risc d’introduir programari maliciós (malware) en els nostres sistemes.