L’Institut Nacional de Tecnologies de la Comunicació descriu l’enginyeria social com “el mecanisme per obtenir informació o dades de naturalesa sensible. Les tècniques d’enginyeria social són tàctiques de persuasió que se solen valer de la bona voluntat i la falta de precaució dels usuaris, i la finalitat de la qual consisteix a obtenir qualsevol classe d’informació, en moltes ocasions claus o codis”.>
Com actuen els atacants?
Els atacants solen utilitzar la força persuasiva per intentar aprofitar-se de la innocència dels usuaris fent-se passar per qualcú de confiança, com ara un company de feina o personal d’informàtica.
Un exemple d’aquest tipus d’atac seria rebre una telefonada de qualcú que es fa passar per personal d’informàtica demanant el número d’usuari i la contrasenya a causa d’alguna circumstància d’emergència.
Una altra tècnica consisteix a enviar un missatge electrònic que contengui, per exemple, el text següent:
“El vostre sistema està infectat per un virus que permet els hackers accedir a la vostra informació emmagatzemada. Per evitar aquesta circumstància, instal·lau un antivirus clicant en aquest enllaç [URL maliciosa que instal·la un troià]* per tal d’eliminar el virus”.
*Troià: programa aparentment innocu que, en executar-se, en l'ordinador no s'evidencien senyals d'un mal funcionament. Tanmateix, el programa obre diversos ports de comunicacions de l'equip infectat que permeten controlar-lo remotament de manera absoluta.
Si pensau que heu estat víctima de l’enginyeria social, ¿què heu de fer si ja heu facilitat les vostres dades i claus d’accés?
Notificau immediatament la incidència al Centre d’Atenció a l’Usuari o al vostre departament d’informàtica i canviau immediatament la vostra contrasenya per evitar tant com sigui possible que arribin a produir-se accessos indeguts a les dades i als recursos protegits.
Quines mesures heu de prendre per evitar els atacs?
En realitat no hi ha cap mecanisme exacte gràcies al qual pugueu evitar els atacs. Simplement heu de desconfiar de les telefonades i dels missatges que rebeu amb caràcter sospitós. Emprau el sentit comú i, sobretot, acudiu a les sessions de formació sobre la seguretat de la informació que us ofereixin el Servei de Salut o les diferents gerències, i seguiu el curs en línia sobre el Codi de bones pràctiques.
Acreditació del curs en línia sobre el Codi de bones pràctiques
Està acreditat per la Comissió de Formació Continuada de les Professions Sanitàries de les Illes Balears. Tots els professionals sanitaris que completin el curs segons els criteris establerts rebran 0,7 crèdits.
Així mateix, els professionals no sanitaris que el completin rebran igualment un certificat d’aprofitament del curs.