Per posar-vos en situació, us poso un exemple d’un cas real entre 2 empreses:

Ens referirem a elles com l’empresa “A” i l’empresa “B”. La primera és proveïdora de la segona.

Un administratiu se’n va de vacances i quan torna s’adona que l’empresa “B” no ha pagat els serveis d’“A” ni en temps ni en forma. Quan reclama, l’empresa “B” contesta que ja va efectuar la transferència: adjunta comprovants i fins i tot els correus electrònics que es van creuar... amb ell, que havia estat de vacances. Efectivament, la transferència es va realitzar: a un compte bancari d’un país estranger. I un ciberdelinqüent havia aconseguit suplantar el treballador que estava de vacances per tal de rebre el pagament de manera fraudulenta.

En el món de la ciberseguretat això es coneix com Open Source Intelligence OSINT. Utilitzar totes les fonts que hi ha a Internet per a localitzar totes les peces d’informació dels empleats d’una organització per a tenir el mapa de qui hi treballa i quina és la peça més vulnerable i realitzar un atac precís i perfectament orquestrat.

Existeixen programes informàtics capaços de llegir les targetes de visita de treballadors i executius que normalment posen a la firma del correu i, en qüestió de minuts, tenir tota la informació que hi hagi disponible a la xarxa sobre aquella persona. El motiu és que un correu electrònic no és només una adreça: també és l’usuari que posaràs per accedir als sistemes de la teva empresa o per accedir, potser, als comptes de les xarxes socials on la persona en qüestió s’hagi registrat.

Com es va consumar aquest atac i per què no es va necessitar cap contrasenya? El procés és complex, molt ben estudiat i és aquí on entren en joc els tokens OAuth.

Open Authorization (OAuth) és un estàndard obert que permet fluxos simples d’autorització per a llocs web o aplicacions informàtiques. Es tracta d’un protocol que permet autorització segura sobre una API (Office365, Google, Facebook, Twitter, etc.) de manera estàndard i simple per a aplicacions d’escriptori, mòbils i web.

Us sona cada vegada que instal·leu una apli al vostre telèfon mòbil o PC una pantalla com aquesta?

Això és un token OAuth. Si fas clic a SI, dones permís a l’apli per:

  • Sincronitzar els correus electrònics, els contactes, el calendari i les tasques, així com enviar correus electrònics.
  • Obtenir accés a la teva informació en qualsevol moment.
  • Obtenir accés a les teves adreces de correu electrònic.
  • Sincronitzar i enviar correus electrònics.

El problema és que els ciberdelinqüents són capaços de crear aplis falses i malicioses amb tokens OAuth que sol·liciten una sèrie de permisos desproporcionats. Cal anar amb molt de compte abans d’atorgar permisos a una apli i llegir molt bé què s’està autoritzant. Un sol clic pot suposar un desenllaç fatal i pot derivar en robatoris de credencials, suplantació d’identitat, encriptació de fitxers, virus, malware, etc.

Al nostre exemple, l’administratiu de l’empresa “A” que va marxar de vacances i va ser suplantat per rebre de manera fraudulenta un pagament de l’empresa “B” tenia la seva contrasenya envaïda per una aplicació falsa.

L’usuari en qüestió havia concedit permisos sense ser-ne conscient mitjançant un token OAuth que donava autorització als cibercriminals a llegir el seu correu i fins i tot a enviar correus electrònics. Un ciberdelinqüent havia estat llegint durant dies la correspondència electrònica i va procurar suplantar-lo en el moment més oportú, fins i tot per la seva forma d’escriure.

Els cibercriminals aprofitaran qualsevol avenç en la tecnologia que els serveixi per a complir el seu objectiu. Teniu en compte que la seguretat no és una cosa que es compri i llestos. És quelcom que cal treballar i en el que cal educar els empleats, invertir-hi constantment i tot i això, mai no s’arribarà al 100% de seguretat.

Tots els que esteu dins d’una empresa i gestioneu diners heu d’assumir que la probabilitat que us ataquin és del 100%. Els cibercriminals són cibercriminals, i el que busquen és aconseguir que el seu objectiu es compleixi: guanyar diners per mitjà del cibercrim.

 

Genís Camps

[email protected]

Departament de IT de TAX

 

© Tax 2020 - Tots els drets reservats

{-- !! FnxSocial::whatsappchat('608 741 883') !! --}