Ciberseguretat en la indústria musical: el phishing

El phishing és una tècnica delictiva que consisteix en l’enviament d’un correu electrònic suplantant la identitat d’entitats bancària, xarxes socials, entitats públiques, empreses reconegudes o un servei que utilitzem, i l’objectiu del qual és obtenir tota la informació personal i bancària que puguin aconseguir de nosaltres (com a usuaris i contrasenyes, adreces, dades de targetes de crèdit, etc) i/o realitzar un càrrec econòmic o infectar el dispositiu en el qual obrim l’arxiu. Per a això, adjunten fitxers infectats o enllaços a pàgines fraudulentes.

En el nostre cas particular, el de negoci musical, el que està ocorrent recentment és que el ciberdelinqüent està fent-se passar per un proveïdor o una empresa amb la qual estiguem treballant. Suplantant la seva identitat i fent-nos creure que estem parlant amb el proveïdor per a aconseguir, a més de la nostra informació personal i de l’empresa, que li paguem una factura falsa.

El ciberdelinqüent se serveix de totes les tècniques i ardits possibles per a guanyar-se la confiança de l’usuari i per a fer veure al receptor que està davant un missatge segur o d’un emissor que coneixem.

També pot ocórrer el contrari, i és que des d’un emissor que sembla que és segur, ja que suplanten identitats (normalment amb correus on només es canvia una lletra) d’entorns
coneguts, ens envien un missatge que pot causar alerta o amenaça i davant això busquen que l’usuari reacciona ràpid i instintivament sense revisar tota la informació.

Això es coneix com a enginyeria social i és una de les tècniques més comunes en el phishing.

COM ES PRODUEIX?
Encara que sembli sorprenent els hackers són capaços d’interceptar un correu, canviar les dades del compte bancari que apareix en la factura manada per email amb la finalitat que vostè realitzi la transferència a un altre número de compte diferent. La tècnica d’intercepció de les comunicacions en els correus electrònics és coneguda com «MitM – Man in the Middle» («Home al mig» de la comunicació) és a dir, el hacker se situa enmig de la comunicació entre les dues persones que estan creuant converses per email.

Per a tenir accés utilitzen la tècnica de phishing als servidors i hosting de pàgines web. Un correu electrònic fraudulent ens avisa que hem de canviar les claus per seguretat del nostre servidor.

Aquest correu sol ser manat des d’un email de confiança, però normalment sol tenir un canvi ortogràfic lleuger i poc notori en l’adreça. En accedir i canviar les
credencials en el portal fals, els hackers tenen accés complet a tots els correus de l’empresa i a informació crucial.

COM RECONÈIXER-HO?
Existeixen diverses maneres d’identificar un correu electrònic fraudulent que passem a detallar a continuació, però la primordial és sempre prendre’s un temps per a analitzar un correu i no prendre decisions precipitades en assumptes tan importants com factures o a donar informació personal o claus.
📌 Comprovar l’ortografia i la redacció. Molts dels correus de phishing contenen errors ortogràfics i de redacció que no són propis d’entitats a causa de l’ús de traductors automatitzats.

📌 Verificar que el compte és original. Hem de comprovar que l’email coincideix amb l’empresa que ens envia el correu. Generalment utilitzen dominis públics que s’assemblen al que seria el correu oficial. A vegades el canvi de direcció és ínfim, per exemple, el domini pot ser google.com i l’email fraudulent és gooogle.com

📌 Revisar la URL: Els enllaços externs del correu han de ser comprovats. Abans de fer clic, podem col·locar el cursor del ratolí per a veure la URL a la qual ens redirigeix i comprovar si és un site segur.

📌 No descarregar arxius adjunts: Si no estàs segur, o no has comprovat que és real, en cap concepte descarregar arxius adjunts i obrir-los en el teu pc.

COM EVITAR-HO O DENUNCIAR-HO?
Si creus que has estat possible víctima d’un ciberatac així, canvia les contrasenyes de tots els comptes, esborra qualsevol arxiu que et generi dubtes, passa un antivirus i activa la doble verificació per a evitar la suplantació.

Abans de res, si has estat víctima d’aquest acte delictiu i hi ha hagut un pagament, crida al teu banc per si
ets a temps de parar i cancel·lar la transferència. Si no has pogut fer-ho abans, i els diners ja està fora has de recórrer sempre a denunciar-lo davant les Forces i Cossos de Seguretat de l’Estat.

Una altra forma per a evitar qualsevol dubte, o simplement per a afegir més seguretat en el procés de pagament, que portem treballant en Sympathy for the Lawyer i recomanem és, que, en factures importants, sempre confirmar el número de compte per telèfon abans de pagar.

Font: APM