Phishing-a, Vishing-a eta Smishing-a

PHISHING-A

Teknika hau mezu elektronikoak bidaltzean oinarritzen da, ezagunak diren igorlearen ikonoak, logoak, formatuak eta abar imitatzen dituzte, adibidez konfidantzazko hornitzaileenak, zerbitzu teknologikoak ematen dituzten empresenak edota ezagunak diren sare sozialenak.  Arreta handia jarri ezean eta beharrezko segurtasun neurriak hartu ezean, mezu horien egiazkotzat har daitezke igorlearen ustezko benetakotasunak biktimarengan sortzen duen konfiantzan oinarrituz. Benetako mezuetan dauden xehetasunak imitatuz, phishing-ak itxura faltsua hartzen du, erraz identifikatu daitezkeen iturrietatik hartutako elementuen bidez. Horrela, beliabide hauek erabiliz (estekak, adibidez) biktimak, konturatu gabe erasotzaileari informazio sentikorra (kreditu-txartelen zenbakia, kredentzialar etab.) partekatzen dio ondorio larriak sortuz.

Adimen artifizialaren etorrerarekin, phishing erasoek sofistikazioan irabazi dute. Zibergaizkileek eredu generatiboak erabiltzen dituzte gramatika-akatsik gabeko mezuak idazteko, komunikazio korporatiboko estiloak imitatzeko eta erasoak biktimaren profilaren arabera pertsonalizatzeko, eta horrek askoz sinesgarriagoak eta hautematen zailagoak egiten ditu.

SMISHING-A

Aurreko kasuan ez bezala, hemen, komunikazio-kanala ez da posta elektronikoa, smartphoneetan instalatutako mezularitza-aplikazioak baizik. Igorle iruzurtiak biktimaren konfiantzari iseka egiten dio eta, testu-mezu engainagarrien bidez, datuak (kreditu-txartelen zenbakiak, adibidez) eskuratzea dituzte. Biktimaren inozentziaz baliatzen dira, ustezko arrisku bat dagoela sinestaraziz eta informazioa eman ezkero hau ekidin ahal delakoan.

Adimen artifizialak smishing-a ere bultzatu du, mezu pertsonalizatuen bidalketa masiboa automatizatzeko eta alerta legitimoak zehaztasun handiz simulatzen dituzten testuak sortzeko aukera emanez, iruzur hauen arrakasta-tasa handituz, horregatik garrantzitsua da iruzur hauen patroiak ezagutzea errazago antzemateko gai izateko.

VISHING

Teknika hau ere gizarte-ingeniaritza eta identitate ordezpenean oinarritzen da, aurreko bi tekniketan ikusi dugun bezala. Oraingo honetan, ahots-deiak erabiltzen dira iruzurra egiteko.

Ziberdelitugileek iruzurrezko telefono bidezko komunikazioaz engainatzen dituzte biktimak, erakunde ofizial batekin (erakunde publiko batekin, adibidez) hitz egiten ari direla sinetsaraziz hala informazioa lortzeko.

IAri esker, vishing-erasoek eboluzionatu egin dute, pertsona errealak edo erakundeetako ordezkariak errealismo handiz imitatzen dituzten ahots sintetikoak erabiltzera, eta horrek are gehiago zailtzen du engainuaren identifikazioa.

PHISHING-A, VISHING-A ETA SMISHING-A REN ARTEKO ANTZEKOTASUNAK ETA DESBERDINTASUNAK

Teknika horiek helburu bera dute: informazio sentikorra lapurtzea, hala nola pasahitzak, bankuko datuak edo kreditu txartelen zenbakiak, baina bakoitzak komunikazio-bide desberdin bat erabiltzen du. Nolanahi ere, manipulazio psikologikoa egiteko teknikak oinarritzen dira guztiak, ingeniaritza sozialaren funtsezko osagaia baita.

• Helburu berbera: Hiru erasoak biktimei buruzko informazio pertsonala edo finantzarioa lortzeko diseinatuta daude.
• Manipulazio psikologikoko teknikak: Kasu guztietan, zibergaizkileek biktimen emozioak eta portaerak manipulatzeko bidek erabiltzen dituzte, eta larrialdi edo konfiantza sentsazioa sortarazten dute, nahiz eta hau benetakoa ez izan, eskatutako informazioa lortzeko.
• Iruzurrezko komunikazioak: Hiru eraso motek erakunde ofizial batetik jasotako mezu edo deiak irudikatzen dituzte, hala nola, banketxe batenak, enpresa ezagun batenak edo agintaritza organu batenak.

Hiru erasoek helburu bera badute ere, zibergaizkileek informazioa lortzeko erabiltzen dituzten tekniken arabera bereizten dira bata estearengatik.

GIZARTE-INGENIARITZA MEZU MOTAK

Zibergaizkileek hainbat teknika erabiltzen dituzte biktimak engainatzeko, faltsutzen saiatzen diren entitatearen arabera:

1. Banku-arloko gizarte-ingeniaritza: Zibergaizkileek finantza-erakunde ofizialak izango balira bezala jarduten dute informazio sentikorra lortzeko. Biktimak engainatzeko aitzaki bezala erabiltzen dira adibidez: kontuak blokeo bat izan duela esatea, jarduera susmagarri bat nabaritu dutela esatea edota ezezagunak diren gastuak egon direla esatea.
   
2. Erakunde publikoetako gizarte-ingeniaritza: Erasotzaileak gobernu erakunde ofizial bat izango balitz bezala jarduten du mezu elektronikoak bidaliz. Besteak beste, zergen itzulketen inguruko mezuak bidaliz, trafiko isunen ordainketak pendiente daudela jakinaraziz edota laguntza eskaerekin zer ikusia duten mezuak bidaliz, hala datu pertsonalak lapurtzeko.
   
3. Erakunde pribatuetako gizarte-ingeniaritza: Zibergaizkileek erabiltzaileen sentimenduetara jotzen dute hauen arreta erakartzeko diseinatutako gai eta mezuen bidez. Faltsututako enpresen artean daude adibidez konpainia elektrikoak, supermerkatuak, mezularitza eta garraio enpresak, telefonia operadoreak, sare sozialak, bideo-jokoen plataformak, hodeiko biltegiratze zerbitzuak, posta elektronikoko zerbitzuen hornitzaileak edota entretenimendu etastreaming plataformak.

ERASO HORIEK IDENTIFIKATZEN LAGUNTZEN DUTEN ZANTZU SUSMAGARRIAK

Gramatika- eta ortografia-erroreak: Mezu faltsu hauek akatsak izan ohi dituzte idazketan, eta horrek agerian utzi dezake ez direla iturri fidagarri batetik bidalitakoak.

Informazio sentikorraren eskaera: Benetako empresa batek, pasahitzak, PINa, sinadura-gakoak edo identifikazio pertsonaleko zenbakiak ez ditu kanal horretatik eskatzen.

Esteka edo fitxategi susmagarriak: Mota honetako mezuek, web gune faltsuetara bideratzen duten estekak dituzte, edota malwarea edo birusak dituzten fitxategiak dauzka erantsita.

Larrialdiak edo mehatxuak: Mota honetako mezuek larritasuna sortzen dute, hartzailea presionatuz berehala jardun dezan kontrakora kalteak jasango dituela esanez, hala nola, kontua ixtea, isunak jasotzea edo segurtasunean arazoak izatea.

NOLA SAIHESTU ERASO HORIEN BIKTIMA IZATEA

• Ez ireki ezezagunen mezurik: Ezabatu eta blokeatu igorlea. Ez erantzun eta ez partekatu informazio pertsonalik.
• Egiaztatu igorlea eta estekak: Ziurtatu mezuak iturri fidagarrietatik datozela, klik egin aurretik edo datu sentikorrak eman aurretik.
• Gailuak eta softwarea eguneratuta eduki: Segurtasun-eguneraketak instalatu ahulezietatik babesteko.
• Antibirusa eta mugikorreko segurtasu teknikak erabili: segurtasun-softwarea instalatu eta eguneratuta eduki, malware eta smishing bezalako mehatxuak detektatzeko.
• Bi faktoreren autentifikazioa aktibatu: Indartu zure kontuen segurtasuna, ahal den neurrian.
• Mezu susmagarri bat jasotzen baduzu, egiaztatu benetakotasuna: Jarri zuzenean harremanetan enpresarekin bere webgune edo zenbaki ofizialen bitartez.

HEZKUNTZA ETA KONTZIENTZIAZIOA

Langileek arrisku zibernetikoen inguruko kontzientzia izateafuntsezkoa da dagokion erakundearen informazioa babesteko. Zibergaizkileek langileen ezagutza falta eta konfiantza aprobetxatzen dute phishing, vishing eta smishing bezalako erasoak egiteko. Prestakuntza egokirik gabe, langileak helburu erraza bihur daitezke, datu sentikorrak eta enpresa-segurtasuna arriskuan jarriz. Verizon DBIR 2023 txostenaren arabera, segurtasun-arrakalen %74k persona fisikoek egindako akatsengatik da, abantailak bidegabe erabiltzeagatik, kredentzialak lapurtzeagatik edota gizarte-ingenieritza bat erabiltzeagatik.

Ongi informatuta  dagoen pertsonala litzake lehen defentsa-lerroa. Trebakuntza-programak, erasoen simulazioak eta jardunbide egokien etengabeko eguneratzeak langileei mehatxuak detektatzen eta prebenitzen laguntzen die. Zibersegurtasunaren kultura sustatzeak nabarmen murrizten du erasoak jasotzeko arriskua, hala erakundeen segurtasuna indartuz.

JakinCode-n zure negozioa babesten laguntzen dizugu, informazioaren segurtasunean oinarritutako kontzientzia zibernetikoaren kultura garatuz.