BILBO, 20 (EUROPA PRESS)
Zibersegurtasuneko Euskal Zentroak eta Ertzaintzaren Delitu Informatikoen Sailak posta elektroniko bidezko hainbat iruzur kanpaina identifikatu dituzte berriki, euskal enpresei eraso ekonomikoak egitera bideratuak. Business Email Compromise deituriko eraso horiek 120.000 euroko batez besteko galerak ere ekarri ahal dizkiete enpresei.
Iruzur mota horren eragina zein zabalkundea haziz doaz (2015etik %1.300ko hazkundea izan dute), eta tamaina guztietako enpresei eragiten diete. Aurten, Trend Micro erakundearen zenbatespenen arabera, sortutako galerak 8.000 milioi euro ingurukoak izan dira mundu osoan, Zibersegurtasuneko Euskal Zentroko arduradunek jakinarazi dutenez.
Eraso mota honen oinarria zera da: mezu elektroniko bidez pertsona baten identitatea faltsutzen da beste bat engainatzeko, iruzurgileak kontrolatutako kontu batera transferentzia ekonomiko bat egin dezan. Phishing motako eraso tradizionaletan ez bezala, eraso horiek biktima bakoitzarentzako bereziki diseinatuta daude eta posta elektroniko profesionalen itxura dute.
Kasu gehienetan, zibergaizkileek enpresen azken albisteak eta langileen sare sozialak aztertzen dituzte, iruzurra ahalik eta sinesgarriena izan dadin. Erasoak posta elektronikoz egiten dira eta, aurretik egindako azterketa lanari esker, spam filtroak eta bestelako babesak gainditzen dituzte. Onura ekonomikoaz gain, zibergaizkileen beste helburuetako bat da enpresari ekonomikoki zein ospe aldetik arazoak ekarri ahal dizkion informazio konfidentziala lortzea.
Zibersegurtasuneko Euskal Zentroaren arabera, zibererasoak prebenitu edo horiei aurre egiteko, funtsezkoa da langileak kontzientziatzea, ohiz kanpoko eskaerak identifikatzeko gai izan daitezen, hala nola faktura edo bankuko kontuen xedearekin erlazionatutako aldaketak eskatzen dituzten mezuak.
Era berean, gomendagarria da enpresek beren langileei eskatzea transferentzia elektronikoen eskaerak beste bide batzuetatik balioztatu ditzatela, esaterako, telefonoz, mezu elektroniko faltsuak saihesteko. Gainera, interesgarria litzateke baliabide teknikoak ezartzea, hala nola SPF, DKIM edo DMARC delakoak, eta postara sarbidea izateko segurtasun neurri sendoak.
LAU MODU
Business Email Compromise iruzurra oinarrizko lau modutan gerta daiteke. CEO iruzurrean, zibergaizkileek mezu elektroniko bat bidaltzen diote transferentziak egiteko eskumena daukan langile bati, itxuraz enpresako arduradun baten izenean. Horren bidez, zibergaizkileen kontrolpean dagoen kontu batera fondoak bidaltzeko agindua ematen zaio.
Halaber, faktura faltsuaren iruzurrean, zibergaizkileek erabiltzaile baten kontua konprometitzen dute, eta iraungitzear dagoen faktura bat bilatzen dute postan, gero finantza sailarekin harremanetan jarri eta ordainketa kontua beste batengatik alda dezaten eskatzeko.
Abokatuaren identitatea faltsutzea da hirugarren iruzur modua: zibergaizkilea enpresa baten abokatu taldearen izenean aritzen da eta gatazka bat konpondu edo iraungitako faktura bat ordaintzeko transferentzia bat eskatzen du.
Azkenik, datu lapurreta iruzur mota da zuzeneko fondo transferentzia bat eskatzen ez duen bakarra. Datuak lapurtzea da xede nagusia, exekutibo baten posta elektronikoa konprometituz eta informazio konfidentziala bidaltzeko eskatuz.
Zibersegurtasuneko Euskal Zentroak industria sektoreko enpresei zuzendutako zibersegurtasun arloko jardunaldiak antolatzen ditu, "Euskadi segurtasun arloan erreferente izan dadin eta mehatxu hauen aurrean kontzientziatuta egon gaitezen". Gainera, enpresa eta partikularrei zibererasoen aurreko alerta zerbitzua eman nahi zaie, baita doako aholkularitza ere, zibereraso baten biktima izatekotan.
Arlo honetako kontzientziazio jardunaldi bat antolatzeko interesa duten enpresek mezu elektroniko bidez eska dezakete: sensibilizacion@bcsc.eus. Zerbitzu guztiak daude euskal enpresa eta herritarraren eskura www.basquecybersecurity.eus webgunean, eta info@bcsc.eus helbidean ere eska daiteke informazioa.
