La pesca, o phishing, és una de les tècniques d'atac per mitjà del correu electrònic. Els ciberdelinqüents envien un correu electrònic simulant ser una entitat legítima amb la finalitat d'obtenir informació personal dels usuaris. Aquest tipus d'atac, generalment, es du a terme per mitjà de la suplantació de la identitat d'una persona o d'un organisme determinat, perquè las possibles víctimes facin una acció que permeti obtenir les seves dades personals (habitualment contrasenyes o informació sobre comptes bancaris).

Aquest atac és comunament utilitzat pels ciberdelinqüents per comprometre les organitzacions. Generalment, els atacs de pesca van dirigits als usuaris d'aquestes i intenten atreure’n l’atenció amb correus electrònics, amb l'objectiu que descarreguin i obrin un fitxer adjunt maliciós, accedeixin a una URL no segura, introdueixin les credencials generalment a pàgines preparades per semblar legítimes, etc.

Davant aquests atacs, des del Servei de Salut de les Illes Balears es presta una atenció especial a formar i conscienciar els professionals quant a la seguretat de la informació. És per això pel que anualment des de la Subdirecció de Tecnologies de la Informació es defineix un pla de formació basat en diverses campanyes de pesca, per determinar el grau de conscienciació dels usuaris i perquè, aquests professionals sàpiguen identificar si els correus rebuts són legítims o si són fraudulents.

Aquestes campanyes de pesca consisteixen en l'enviament de correus electrònics als diferents professionals de Servei de Salut simulant ser correus legítims. Aquests es divideixen en dues tipologies de correus maliciosos: els que contenen un fitxer adjunt maliciós i aquells que contenen un enllaç que redirigeix a una pàgina web que sol·licita les credencials d'usuari del Servei de Salut.

Una vegada finalitzades les campanyes de pesca s'analitza el nombre de professionals que han llegit el correu maliciós, el dels que han accedit a l'enllaç o a l'arxiu suposadament maliciós i el dels que han introduït les credencials. Segons cada acció sobre aquests correus electrònics, s'envia un comunicat per recordar que és molt important intentar detectar que es tracta d'un correu maliciós.

Així mateix, aquests correus corresponien a diferents temàtiques per comprovar quines tenien més efecte entre els professionals del Servei de Salut: promocions especials, notificacions d'organismes externs, prestacions internes, etc.

Per això és convenient recordar algunes pautes per detectar si un correu electrònic és legítim o no:

• Si rebeu un correu no esperat o d'origen desconegut, desconfiau i no l’obriu.
• Si obriu un correu sospitós, mai cliqueu en els enllaços que contingui ni obriu els fitxers adjunts. Abans de descarregar qualsevol fitxer adjunt o clicar en els enllaços que contingui el correu cal analitzar-lo detalladament a la recerca de qualsevol aspecte sospitós. És convenient confirmar que el domini del correu electrònic és correcte, analitzar l'escriptura del correu i revisar els enllaços a pàgines web.
• No respongueu cap correu que us sembli sospitós ni faciliteu dades personals ni informació dels vostres comptes bancaris.
• No heu d’introduir credencials en pàgines web sospitoses o aparentment oficials.

És important recordar que NO s'ha d'accedir a enllaços que creen el dubte de si són legítims o no i en cap cas hi heu d’introduir les credencials, ja que aquestes poden ser utilitzades per suplantar-vos la identitat.

En el cas dels professionals del Servei de Salut de les Illes Balears sempre que detectin que han rebut un correu maliciós o que dubtin de si es tracta d'un correu que simula ser legítim, l’han de remetre per correu electrònic al Servei de Seguretat de la Informació, equip que s'encarrega d'analitzar el correu, bloquejar el remitent, si escau, i bloquejar l'enllaç maliciós perquè no es propagui l'atac.

És recomanable consultar aquests butlletins anteriors:

• Butlletí núm. 72: Bones pràctiques en l'ús del correu electrònic.
• Butlletí núm. 63: Bones pràctiques en l'ús dels sistemes d'informació: el correu electrònic corporatiu.
• Butlletí núm. 60: Protegim degudament la informació sensible que enviam a través del correu electrònic?
• Butlletí núm. 53: Campanyes de programari maliciós i enginyeria social.
• Butlletí núm. 45: Ús del correu electrònic i perills que implica.

Finalment, i com sempre manifestam, cal recordar que la seguretat de la informació és cosa de tots i comença per cadascun de nosaltres.

Moltes gràcies per la vostra ajuda.