Butlletins de l'Oficina de Seguretat

Servei de Salut de les Illes Balears (Ibsalut)

  2. Inici
  3. Professionals
  4. Salut digital: eines per als professionals
  5. Seguretat de la informació
  6. Butlletins de l'Oficina de Seguretat
  7. Butlletí núm. 138: Pesca nadalenca
Butlletins de l'Oficina de Seguretat

Butlletí núm. 138: Pesca nadalenca

Què és la pesca nadalenca?

 

La pesca (phishing) nadalenca és una modalitat de frau digital que aprofita l’ambient festiu per enganyar els usuaris i obtenir informació confidencial (credencials, dades personals, accés a sistemes) o instal·lar programari maliciós (malware). Durant aquestes dates, els ciberdelinqüents es beneficien de l’increment de correus corporatius, felicitacions i comunicacions internes per fer que els seus missatges semblin legítims.

 

En l’àmbit sanitari, s’han detectat correus falsos que imiten situacions habituals, com ara:

 

  • Actualitzacions urgents de sistemes

Correus que aparenten ser del departament de TI i que indiquen que cal instal·lar un pedaç crític abans de final d’any per evitar problemes de seguretat.

  • Felicitacions corporatives

Missatges que simulen ser de l’equip directiu amb targetes virtuals o vídeos que requereixen clicar en un enllaç per veure la felicitació.

  • Avisos sobre nòmines o pagaments extraordinaris

Comunicacions que prometen una paga extra o ajustos salarials per Nadal, i que demanen validar dades en un portal fals.

  • Enquestes internes o sorteigs corporatius

Invitacions per participar en enquestes amb premis, com cistelles de Nadal, que inclouen enllaços fraudulents.

  • Campanyes solidàries corporatives

Invitacions per donar a causes benèfiques organitzades per l’empresa, amb enllaços que menen a llocs fraudulents per robar informació bancària.

  • Promocions falses de proveïdors o botigues associades

Correus que aparenten ser de proveïdors habituals i que ofereixen descomptes exclusius per Nadal, amb enllaços a pàgines fraudulentes per capturar dades de pagament.

  • Enviaments i logística

Correus que informen sobre l’entrega d’un paquet nadalenc o regal corporatiu, i que demanen confirmar l’adreça o seguir l’enviament per mitjà d’un enllaç.

  • Invitacions a sopars o esdeveniments corporatius

Missatges que aparenten ser de l’àrea de recursos humans o direcció, que demanen confirmar l’assistència al sopar de Nadal i triar el menú per mitjà d’un enllaç.

 

Aquestes tàctiques s’adapten al context festiu per semblar més creïbles i augmentar la probabilitat que l’usuari caigui en el parany. Per reforçar els vostres hàbits de seguretat en el correu electrònic, consultau també el Butlletí núm. 72: Bones pràctiques en l’ús del correu electrònic

 

Com identificar un correu fraudulent?

Per evitar caure en un atac de pesca, és fonamental reconèixer els senyals més comuns. Com podeu veure en la imatge adjunta, aquestes són les principals alertes:

  • Remitent sospitós
    Adreces que imiten les oficials, però inclouen caràcters estranys o dominis incorrectes.
  • Enllaços enganyosos
    En passar el ratolí sobre l’enllaç, la URL real no coincideix amb el domini oficial. Solen menar a pàgines falses que demanen credencials.
  • Missatges amb urgència excessiva
    Comunicacions que pressionen per actuar immediatament, com:
    «¡Actualitza ara o perdràs l’accés!» Aquesta tàctica cerca que l’usuari no pensi abans de clicar en l’enllaç.
  • Arxius adjunts inesperats
    Especialment en felicitacions, invitacions o suposades actualitzacions. Aquests arxius poden contenir programari maliciós.
  • Errors de redacció
    Faltes ortogràfiques, traduccions deficients o expressions poc habituals en comunicacions corporatives.

 

Per conèixer més sobre com identificar i evitar aquest tipus d’atacs, consultau el Butlletí núm. 118: Què és el phishing, com identificar-lo i com evitar-ho?

Què heu de fer si rebeu un correu sospitós?

Si detectau un missatge que podria ser fraudulent, seguiu aquests passos per protegir-vos i evitar riscs:

  1. No cliqueu en enllaços ni descarregueu arxius adjunts. Fins i tot si semblen legítims, podrien contenir programari maliciós o menar-vos a pàgines falses.
  2. Verificau el remitent per canals oficials. Contactau amb el departament corresponent per mitjà de telèfon intern o intranet; mai no respongueu el correu sospitós.
  3. Reportau el correu a l’equip de seguretat o al servei de TI.
    Apreneu com fer-ho consultant el Butlletí núm. 94: Reportau possibles casos de phishing.
  4. Eliminau el missatge després de reportar-lo. No el mantingueu a la vostra safata d’entrada per evitar errors futurs.
  5. Manteniu els seus sistemes actualitzats només des de fonts oficials. Mai no instal·leu actualitzacions que arribin per correu electrònic.

 

Recomanacions per a aquestes dates

Per Nadal, els ciberdelinqüents aprofiten la confiança i l’augment de comunicacions per llançar atacs més sofisticats. Per això, és important extremar les precaucions. Si rebeu felicitacions corporatives que inclouen enllaços o arxius adjunts, desconfiau: poden ser l’ham perfecte per instal·lar programari maliciós o robar credencials.

 

Recordau que mai no he d’introduir les vostres dades d’accés en pàgines a les quals arribeu des d’un correu electrònic. Les plataformes oficials no demanen credencials per aquest mitjà.

 

A més, reforçau la seguretat dels vostres comptes activant l’autenticació multifactor (MFA). Aquesta mesura afegeix una capa addicional que dificulta l’accés no autoritzat, fins i tot si la vostra contrasenya es veu compromesa. Si voleu saber més sobre com crear contrasenyes segures i per què el doble factor és essencial, consultau el Butlletí núm. 69: Com és de segura la vostra contrasenya?

 

La seguretat és responsabilitat de tothom. Anau alerta i reportau qualsevol missatge sospitós: la vostra acció pot evitar un incident greu.