Gira tu dispositivo a modo "landscape"
Gira tu dispositivo a modo "landscape"
Phishing-a, troiarrak, zizareak, spyware-a, ransomware-a, rogueware-a, malware polimorfikoa… termino bitxi horiek guztiek ezaugarri bera dute: Gaizkileek diseinatutako malware edo software maltzurren mota desberdinak dira, biktima jakin bati bere ekipo informatikoen bidez kalte egiteko edo estortsioa egiteko asmoz.
Gehienetan, metodologia bera erabiltzen dute: Piratak biktimen ekipoetan sartzen dira, gailu mugikorren aplikazioen bidez edo posta elektronikoaren bidez. Aplikazioetatik sartzeko benetako aplikazioen itxura duten eta denda ofizialetatik (APP Store edo Google Play) kanpo deskargatzen diren aplikazio “maltzurren” bidez egiten dute. Horrela, programa maltzur bat exekutatzea eta instalatzea lortzen dute, normalean biktima bera konturatu gabe (posta elektronikoa daraman artxibo erantsia irekitzean) eta lapurtu nahi duten informazioa lortzen dute.
Baina, nola lortzen dute? Zeintzuk dira erabiltzen dituzten teknikak troiar birusek bankuen informazioa ebasteko? Biktima gehienek market ez-ofizialetik eta posta elektronikotik jaitsitako aplikazioen bidez irekitzen diete atea troiarrei, egiazkoak diruditen baina birusa daukaten programak jaistean. Askotan, formularioak, pantailak, teklatu-pultsazioak harrapatzeko diseinatuta dago malware-a, baita biktima erasotzaileek kontrolatutako zerbitzarietara bideratzeko ere. Horrela, bere jarduera digital osoan sartzea lortzen dute.
Bankuen erabiltzaileek pairatzen duten iruzur-metodo ohikoenetako bat phishinga da. Erasotzaileek, adibidez, erakunde ofizial baten itxura egiten dute, hala nola zure bankua, enpresa teknologikoak, energetikoak, Posta, Gizarte Segurantza, Ogasuna… benetakotasun nabarmenaz (logo eta letra-mota berak, URLean erakundearen izena, etab. erabiltzen dituzte). Gainera, mezu bat bidaltzen dizute, online bankara sartzeko zure gakoak edo ordainketa-txartelaren datu osoak egiaztatzeko eskatuz, mezu elektronikoan sartutako esteka batetik:Esteka horretan klik egitean, ordea, malware-ak legitimoa dirudien baina iruzurrezkoa den webgune batera eramaten zaitu, eta informazioa sartzeko eskatzen dizu, hura lapurtzeko asmoz. Phishing-ak hainbat aldaera ditu:
• Smishing-a, SMS mezuen bidez. Bidezko erakundeen identitatea ordezten eta biktima konbentzitzen saiatzen diren SMS mezuak izaten dira, orri batean bere datuak (banka elektronikoaren kredentzialak, txartelaren datuak, beste gako batzuk) sar ditzan, zilegizkoa dela simulatuta, iruzurrezkoa den arren. Horrez gain, benetan banka arloko troiarra ezkutatzen duen aplikazio bat jaisteko eska dezake, nahiz eta aplikazio maltzurra izan. Bankuko kredentzialak edo txartelaren datuak lapurtzeaz gain, troiar horietako batzuek eginkizun jakin bat dute kutsatutako gailuan jasotako SMSak ere lapurtzeko. Trebetasun horri esker, erasotzaileek mugikorrean jasotako baimen-kodeak eskura ditzakete, eta, horrela, biktimaren kontura sartzeko baimena eman dezakete, edo erasotzaileek berek egindako transakzio bat. Troiar horiek ere erasoa jasaten duenaren kontaktu-agenda atzitu edota lapurtu dezakete.
• Telefono-dei batekin edo vishing batekin. Modalitate horrekin, Voice eta phishing nahastuta, piratek mezu elektroniko bat edo beste komunikazio bat bidaltzen dizute (SMS bidez, adibidez), zure bankuaren edo zilegizko beste edozein enpresaren itxura eginez, eta telefono-zenbaki batera deitzea eskatzen dizute, segurtasun arloko egiaztapena egiteko edo ustez susmagarria den operazio bat egiaztatzeko. Beste aukera bat aldez aurretik jakinarazpenik ez bidaltzean datza. Horren ordez, webgune jakin batean alerta-mezu baten bidez, "gonbidapena" iristen zaizu telefono-zenbaki batekin harremanetan jartzeko, ustezko segurtasun-arazo bat konpontzeko. Bietan, telefonoaren bestaldean erantzungailu batek erantzun diezazuke edo, are gehiago, zurekin harremanetan jarriko den norbait egon daiteke. Horrek, esate baterako, zure txarteletan edo banku-kontuetan mugimendu arraroren bat antzeman dela ohartaraziko dizu eta zure datuak egiaztatzeko eskatu. Era berean, ohikoa izaten da urruneko kontrol programak jaisteko eskatzea, zure gailua kontrolpean edukitzeko eta iruzurra gauzatzeko.
• WhatsApp bidez. Erasotzaileak esteka bat dakarren mezu bat bidaliko dio biktimari Whatsapp bidez. Horretan, iruzurrezko webgune batean sartzeko (normalean benetako banku baten itxura eginez) eta bere bankuko gakoak edo txartel baten datuak emateko eskatuko diote. WhatsApp-eko mezu honekin batera beste iruzur bat ere egin ohi dute, biktimak mugikorrean jasotako SMS kodea eman diezaien, txartel bidezko ordainketa-eragiketa bat amaitzeko edo banka elektronikotik transferitzeko; bietan, iruzurrez jokatuz.
1. Jaitsi leku ofizialetatik aplikazioak, eguneratuta eduki eta aktibatu iturri ezezagunen blokeoa smartphone-aren doikuntzetan.
2. Instalatu antibirusa ordenagailuan eta smartphone-an eta ez fidatu testu-mezuetarako sartzeko aukera ematea eskatzen dizuten aplikazioekin. Gainera, segurtasun arloko praktika ona izaten da App batek instalatu behar denean eskatzen dituen baimen guztiak berrikustea, eta zalantzaren bat izanez gero, ez instalatzea. Beste praktika on bat da App bati buruzko iritziak/iruzkinak berrikustea bere zilegizkotasunaz zalantzak ditugunean.
3. Izan eszeptiko eta zuhurra. Zerbait arraro iruditzen bazaizu, ez sartu Online Bankan jasotako inolako estekatik eta egin beti App ofizialetik edo, Interneteko nabigatzaile baten bidez sartuko bazara, egiaztatu sartu zaren webgunea benetan bankuarena den.
4. Ez eman inoiz isileko daturik saioa hasteko kredentzial gisa, ez pasahitz gisa, ezta ordaintzeko kredentzial gisa ere, ez internet bidez, ez telefono bidez, inola ere ez.
5. Ez fidatu ustekabeko mezuez: Iruzur egiteko bide nagusia dira.
6. Ez sartu inoiz gako pertsonalik, bereziki online bankara sartzekoak, aireportu bateko ordenagailu publikoetan edo WiFi sare irekietan.
7. Erabili "saioa itxi" aukera konexioa amaitzerakoan, eta desaktibatu ordenagailutik "pasahitzak norberak osatu" aukera.
8.Erabili gako seguruak. Horretarako, nolabaiteko konplexutasuna duten karaktereak batera jar ditzakezu: zenbakiak, letra larriak (maiuskulak), letra xeheak (minuskulak) eta beste batzuk. Gako bat zenbakiez osatuta dagoenean, saiatu ez jartzen erraz ondoriozta daitezkeen eredurik (zenbaki guztiak berak izatea, goranzko edo beheranzko sekuentziak), ezta beste bide batzuetatik (sare sozialak, etab.) lor daitezkeenak ere, esate baterako, jaiotza-data edo NANa. Nolanahi ere, gogoratu aldian-aldian aldatzea.
Kutxabanken, gainera, segurtasun-neurri gehigarriak ditugu, ziberdelitugileen biktima ez izateko:
• Online sartzeko saiakerak kontrolatzen ditugu, baita blokeatu ere, huts egindako 5 bider baino gehiagotan sartzen saiatuz gero. SMS baten bidez adieraziko dizugu nola berreskuratu.
• Sarrera eta kontsulta batzuk babestuta daude: Pribatutasuna babeste aldera, hainbatetan ere baimen gehigarria eskatuko dizugula ikusiko duzu. Horretarako, mugikorrera SMSez igorriko dizugun erabilera bakarreko gako bat sartu behar izango duzu.
• Zure eragiketak aztertzen ohi ditugu iruzurrak detektatzeko eta berehala abisatzeko asmoz.
Informazio gehiago behar baduzu, bisitatu gure webgunea edo galdetu kudeatzaileari.
