Butlletins de l'Oficina de Seguretat

Servei de Salut de les Illes Balears (Ibsalut)

Bones pràctiques en l’ús del correu electrònic

Butlletí núm72. - Bones pràctiques en l’ús del correu electrònic

Darrerament s’ha detectat un augment de les campanyes d’enviament massiu de correus electrònics maliciosos aprofitant la situació actual causada per la COVID-19.

Generalment, aquests correus aparenten ser legítims, però tenen l’objectiu d’atreure l’atenció dels usuaris i, amb això, aconseguir accedir a informació confidencial, infectar els dispositius i/o dur a terme atacs contra la ciberseguretat. Aquests correus són denominats atacs de pesca de credencials (phishing) o d’enginyeria social.

 

El mètode d’atac per mitjà del correu electrònic consisteix comunament en l’enviament de correus que simulen que el remitent és un usuari o una organització legítima en qui el receptor té dipositada la seva confiança per aconseguir que aquest descarregui un fitxer adjunt que conté un programari maliciós (malware) o que cliqui en un enllaç que el menarà fins a una pàgina web maliciosa en la qual li demanaran, per exemple, que hi introdueixi les credencials per accedir a la informació corporativa.

 

Per reduir el risc de ser víctima d’un atac de pesca de credencials utilitzant el compte de correu electrònic corporatiu, cal ser conscient de la necessitat de fer un bon ús d’aquesta eina i seguir aquestes recomanacions:

  • Si rebeu un correu no esperat o d’origen desconegut, desconfiau-ne i no l’obriu.
  • Si obriu un correu sospitós, no cliqueu mai en els enllaços que contengui ni obriu els fitxers adjunts. Abans de descarregar qualsevol fitxer adjunt o de clicar en els enllaços que el correu contengui cal analitzar-lo detalladament a la recerca de qualsevol aspecte sospitós. Convé validar aspectes com ara confirmar que el domini del correu electrònic és correcte, analitzar l’escriptura del correu i revisar els enllaços a pàgines web.
  • No respongueu cap correu que us sembli sospitós ni faciliteu dades personals ni informació dels vostres comptes bancaris.
  • No introduïu credencials en pàgines web sospitoses o aparentment oficials.
  • Assegurau-vos que el vostre ordinador personal disposa d’un antivirus actualitzat.

 

El punt 11 del Codi de bones pràctiques del Servei de Salut de les Illes Balears estableix les mesures de seguretat organitzatives que cal aplicar per al bon ús del correu electrònic i de l’agenda corporatius:

  • No emprar el correu electrònic corporatiu per a finalitats personals.
  • No dur a terme accions de difusió massiva i indiscriminada d’informació que pugui posar en risc el funcionament i el bon ús del sistema.
  • No accedir, eliminar ni modificar contingut de missatges de correu o fitxers adreçats a altres usuaris.
  • Sota cap concepte revelar a personal no autoritzat el contingut de qualsevol dada reservada o confidencial propietat del Servei de Salut o de terceres persones.
  • Xifrar qualsevol enviament d’informació de caràcter personal.
  • No divulgar missatges comercials o propagandístics des del compte de correu corporatiu, excepte amb l’autorització prèvia corresponent i emesa formalment.

 

Tenint en compte les mesures anteriors, un exemple de mal ús del compte de correu corporatiu seria utilitzar-lo per registrar-se com a usuari de plataformes no corporatives, com ara Linkedin, Facebook, Adobe, fòrums diversos o webs de cites, llevat que es disposi de l’autorització prèvia i que la plataforma en qüestió hagi estat revisada degudament. Aquestes accions —entre d’altres— suposen que augmenti el risc d’exposar-se al robatori de credencials corporatives. Un cas real va ser el robatori de 164 milions de credencials d’accés a comptes de correu i contrasenyes de Linkedin, ocorregut el maig de 2016.

 

En aquest mateix àmbit, l’eina interna d’anàlisi del correu electrònic corporatiu del Servei de Salut va blocar la recepció d’un total de 37.097 correus maliciosos en només un dia, tal com il·lustra el gràfic adjunt, cosa que va suposar el blocatge del 69 % dels correus entrants.

Correos maliciosos IB-SALUT en un día 

La Policia Nacional ha alertat d’un intent de frau per mitjà de la pesca de credencials amb correus enviats des d’una multinacional nord-americana amb l’objectiu obtenir credencials d’accés i dades de la targeta bancària de l’usuari. Podeu comprovar la notificació en aquest enllaç del Govern d’Espanya.

 

És recomanable consultar aquests butlletins anteriors, entre d’altres:

 

Així mateix, és aconsellable consultar les pàgines oficials de l’INCIBE i del CCN-CERT per conèixer més consells sobre com actuar davant correus electrònics sospitosos.

 

Segons les mesures de seguretat i ocurrència dels fets descrits, concloem que la integració d’una eina corporativa de blocatge de correus electrònics i una conscienciació robusta dels usuaris sobre l’ús correcte del correu electrònic i la detecció de correus sospitosos disminueixen notablement el risc de fuga d’informació sensible.