Quan he sospitar d’un missatge de correu electrònic i com he d’actuar?

Quan he de sospitar d’un missatge de correu electrònic?

 

Les pautes que t’oferim són pistes per a detectar el phishing, però no garanteixen que es puga identificar al 100%. Cal tenir en compte que qualsevol dels punts següents pot servir per a alertar-nos, sense necessitat que concórreguen tots.

 

  • És un correu que no esperes ni té cap relació amb la teua activitat professional o personal. No l’òbrigues.
  • El missatge et demana dades personals (comptes bancaris, iniciar sessió, número del mòbil …). No proporciones mai dades personals en resposta a un correu sense assegurar-te abans que la petició és real.

  • L’adreça de correu que envia el missatge és estranya (adreces amb lletres i números barrejats, dominis poc habituals o no relacionats amb la nostra activitat…). No l’òbrigues.

  • Conté un enllaç abreujat. Verifica abans on et porta aquest enllaç usant http://www.getlinkinfo.com/.

 

  • Conté un enllaç amb un text que no coincideix amb l’adreça a la qual apunta quan hi passem el ratolí o conté un botó que si passem el cursor per damunt apunta a una adreça estranya, com en la imatge. No l’òbrigues.

 

  • Està molt mal redactat (és una mala traducció o no té sentit en alguns fragments).

  • T’ofereix avantatges o beneficis inversemblants o t’amenaça.

En tot cas, si dubtes, posa’t en contacte amb el Servei d’Informàtica escrivint a soporte@ua.es. Si ens reenvies el correu el podrem analitzar i detectar campanyes d’atac. Així podrem prendre mesures preventives per a la resta de comunitat universitària. 

Fonts: 

Kit de concienciación. Phishing, Incibe y CRUE.

Conoce a fondo qué es el phishing, OSI.

¿Cómo reconocer un mensaje de tipo phishing?, OSI.

¿Cuándo debo sospechar de un mensaje de correo y cómo debo actuar?

¿Cuándo debo sospechar  de un mensaje de correo electrónico?

 

Las pautas que te ofrecemos son pistas para detectar el phishing, pero no garantizan que se pueda identificar al 100%. Hay que tener en cuenta que cualquiera de los puntos siguientes puede servir para alertarnos, sin necesidad de que concurran todos.

 

  • Es un correo que no esperas ni tiene ninguna relación con tu actividad profesional o personal. No lo abras.
  • El mensaje te pide datos personales (cuentas bancarias, iniciar sesión, número del móvil…). No proporciones nunca datos personales en respuesta a un correo sin cerciorarte antes de que la petición es real.

  • La dirección de correo que envía el mensaje es extraña (direcciones con letras y números mezclados, dominios poco habituales o no relacionados con nuestra actividad…). No lo abras.

 

  • Contiene un enlace cuyo texto no coincide con la dirección a la que apunta cuando pasamos el ratón o contiene un botón que al pasar el cursor por encima apunta a una dirección extraña, como en la imagen. No lo abras. 

 

  • Está muy mal redactado (es una mala traducción o no tiene sentido en algunos fragmentos)

  • Te ofrece ventajas o beneficios inverosímiles o te amenaza.

En todo caso, ante la menor duda, ponte en contacto con el Servicio de Informática, escribiendo a soporte@ua.es. Si nos reenvías el correo lo podremos analizar y detectar campañas de ataque. Así podremos tomar medidas preventivas para el resto de comunidad universitaria. 

Fuentes: 

Kit de concienciación. Phishing, Incibe y CRUE.

Conoce a fondo qué es el phishing, OSI.

¿Cómo reconocer un mensaje de tipo phishing?, OSI.

Atac simulat de phishing en la Universitat d’Alacant

Per què?

El passat 14 de novembre la Universitat d’Alacant va iniciar una campanya de conscienciació en ciberseguretat. L’inici d’aquesta campanya el va marcar un correu electrònic enviat al professorat i al PAS, amb l’assumpte “Comunicado del Vicerrectorado de Asuntos Laborales”. El missatge, que imitava algunes característiques dels missatges de phishing, contenia  un enllaç a un document suposadament relacionat amb la promoció laboral. No obstant això, aquest enllaç enviava a una pàgina web en la qual s’informava sobre la campanya de conscienciació i es donaven pautes per a evitar el phishing.

 

Aquesta campanya, promoguda per l’Institut Nacional de Ciberseguretat (INCIBE) i la Conferència de Rectors de les Universitats espanyoles (CRUE), es completarà amb materials de consulta i activitats de formació al llarg dels pròxims mesos.

 

Com podem estar alerta?

Els missatges de phishing es poden detectar en la majoria dels casos per un o diversos elements. En aquest atac simulat, hi havia quatre pistes que ens podien fer sospitar que es tractava d’un missatge simulat:

  1. El remitent era un Vicerectorat inexistent. Si rebem un missatge d’un usuari desconegut o inexistent, com era el cas, hem de recelar del missatge.
  2. Els missatges institucionals de la UA es remeten en valencià i castellà.
  3. La redacció del missatge era poc concreta. Els missatges de phishing menys elaborats solen tenir redaccions i terminologia bastant genèriques.
  4. L’enllaç contenia una adreça acurtada. No totes les adreces acurtades impliquen un perill, però se solen usar en els missatges de phishing per a emmascarar adreces que, d’una altra manera, ens alertarien.

 

Tens dubtes?

Si tens dubtes quan reps un missatge, no faces clic en els enllaços i mai facilites les teues dades. Aprofita l’ajuda que t’oferim des del CAU en el Servei d’Informàtica i consulta’ns:  soporte@ua.es o 965 90 9393. Estarem encantats d’ajudar-te.

 

Com pots saber-ne més?

Pots consultar el kit de conscienciació de l’INCIBE: https://si.ua.es/va/servicios/seguridad/incibe-kit-de-conscienciacio.html.

A més, prompte anunciarem les accions formatives que durem a terme per a millorar la teua ciberseguretat. Mentrestant, hem publicat una entrada per a ajudar-te a detectar els correus de phishing: “Quan he de sospitar d’un missatge de correu electrònic i com he d’actuar?”. I també pots seguir-nos en les xarxes socials per a estar al dia en ciberseguretat.