Posta elektronikoa ezinbesteko komunikazio tresna da unibertsitatearentzat. Onurak begien bistakoak dira (irisgarritasuna, berehalakotasuna, dokumentu erantsiak bidaltzeko aukera, etab.), nahiz eta, sortu zenean, ez zen egun duen erabileran pentsatuz egin, ez eta segurtasunean ere.

Komunikazio tresna guztiekin gertatu bezala, komeni da zehaztea nola erabili posta elektronikoa modu egoki eta seguruan. Izan ere, abusuetatik eta nahi gabeko akatsetatik harago, posta elektronikoa da zibergaizkileek beren erasoetan gehien erabiltzen duten tresnetako bat.

Ohikoa bihurtu da gure postontzietara iristea spam mezuak, phishing motako mezuak edo beste erakunde edota pertsona batzuen nortasuna ordeztuz bidalitako mezuak. Kasu horietan, erabiltzen dira ingeniaritza sozialeko teknikak, helburu gaiztoak lortzeko: hala nola gure gailua edo unibertsitatearen sare osoa infektatzea, edo kredentzialak, bankuko datuak edota informazio konfidentziala lapurtzea.

Mezu gaizto baten helburua da hartzailea engainatzea, eta horretarako erabil daitezke igorlea, gaia, gorputza, dokumentu erantsiak edo estekak.

Ingeniaritza soziala: Ingeniaritza sozialak edozein trikimailu erabiltzen du gure arreta erakartzeko eta urrats jakin batzuk egin ditzagun lortzeko. Nola egiten dute hori? Gure konfiantza irabazi eta, sarritan, gutaz baliatzen dira, informazio jakin bat lortzeak sortzen digun jakin-nahiaz eta morboaz, agintariekiko errespetuaz, zerbaitetan laguntzeko borondateaz, zerbait galtzeko beldurraz, edo gure harrokeriaz. Beste batzuetan, premiazko egoera bat sortzen dute. Horrela lortzen dute gu manipulatzea eta guk haiek nahi dutena egitea.

Posta elektronikoa da zibergaizkileek edozein erakundetan sartzeko erabiltzen duten sarbide nagusia. Ingeniaritza sozialaren teknikak erabilita, erabiltzaileak engainatzen dituzte, informazio konfidentziala lapurtzen dute edo tresneria malwarearekin infektatzen dute. Iruzur ohikoenak dira:

2.1 Phising

Beharbada, iruzur ezagun eta zabalduenetako bat da. Enpresa edo erakunde fidagarri baten lekuan jartzea da (hala nola bankuak, sare sozialak edo erakunde publikoak), eta hartzaileari iruzur egitea. Helburua da sarbide gakoak edo bereziki babestutako informazioa lortzea: esaterako, datu fiskalak edo bankuko datuak. Gehien erabiltzen den kanala izan ohi da posta elektronikoa, nahiz eta beste batzuk ere erabil daitezkeen; hala nola SMS mezuak edo berehalako mezularitza aplikazioak (WhatsApp).

Phishing motako segurtasun abisuen benetako adibideak:

• INCIBE – Protege tu empresa – Avisos - Detectada campaña de phishing contra Paypal
• INCIBE – Protege tu empresa – Avisos - ¡Cuidado no piques! Campaña de phishing suplantando a ING
• INCIBE – Protege tu empresa – Avisos - Nueva campaña de correos fraudulentos suplantan a la Agencia Tributari
• INCIBE – Protege tu empresa – Avisos - Campaña de phishing suplanta falsas devoluciones de Endesa

2.2 Scam

Mezu elektroniko hauen helburu bakarra da hartzaileak engainatzea eta ahal den informazio guztia lortzea, (informazio pertsonala edo enpresa edo banku informazioa). Kasu honetan, amarru gisa erabiltzen dira gezurrezko loteria sariak, milioi askoko herentziak, diru ordainketak eskatzen dituzten lan eskaintzak, etab., nahiz eta zibergaizkileek iruzur modu berriak asmatzen dituzten egunetik egunera.

Hona hemen iruzur honen adibide bat:

• INCIBE – Protege tu empresa – Avisos - Blog - Historias reales: Un galán vació las cuentas de mi empres

2.3 Sextortsioa

Helburua da hartzaileari estortsioa egitea, ustezko bideo pribatu batekin edo eduki konprometigarriko bideo batekin (eskuarki existitzen ez dena). Mehatxu egiten zaio, kopuru bat ordaindu ezean, bideoa zabalduko dela haren posta elektronikoko kontaktu guztien artean eta sare sozialetan. Normalean eskatzen da kriptotxanponetan ordaintzea (bitcoin), eta hartzailea igorlea dela dirudi, benetan hala ez denean.

Sextortsio adibidea:

• INCIBE – Protege tu empresa – Avisos - Blog - Campaña de correos extorsionan con supuestos vídeos privados

2.4 Malware

Kasu honetan, gailuak infekta ditzakeen kode gaizto bat da. Mezuek izan ditzakete fitxategiren bat edo webguneetarako estekak, eta fitxategia deskargatzean eta exekutatzean, gailua infektatzen da. Infekzioa gerta daiteke ere klik egitean iruzurrezko iragarkietan (malvertising) edo nabigatzaileen ahulgune batez baliatuta (drive-by-download). Behin gure ekipoa infektatuta, sare instituzionalean barrena zabal daiteke, sarera konektatutako era guztietako gailuak kutsatuta (disko gogorrak), baina baita sareko beste sistema batzuk ere, hodei zerbitzuak barne.

Malware abisuen adibideak:

• INCIBE – Protege tu empresa – Avisos - Blog - Envío de falsos presupuestos en Excel como adjuntos maliciosos
• INCIBE – Protege tu empresa – Avisos - Blog - Detectada oleada de correos con facturas que infectarán tu equipo
• INCIBE – Protege tu empresa – Avisos - Nueva oleada de ransomware afectando a múltiples equipos
• INCIBE – Protege tu empresa – Avisos - Importante oleada de ransomware afecta a multitud de equipos

Oharra: ransomware izeneko malware motan, ordenagailuaren informazioa zifratu edo informazio horretara sartzea eragozten da, eta mehatxu egiten zaio erabiltzaileari, informazioa suntsituko dela erreskate bat (ransom) ordaindu ezean.

Iruzurrezko mezu elektronikoek ezaugarri jakin batzuk izan ohi dituzte, iruzurra direla adierazten digutenak. Hona hemen iruzurrezko mezuen adibide bat.

3.1 Igorle ezezaguna

Askotan, nahikoa da mezuaren igorlea nor den egiaztatzea mezua iruzurra dela jakiteko, ez duelako inolako zerikusirik ustez ordezkatzen duen erakundearekin. Iruzurrezko mezu elektronikoak bidaltzeko, zibergaizkileek erabiltzen dituzte aurretik hackeatu dituzten beste erabiltzaile batzuen posta kontuak.

Banku batetik datorrela dirudien mezu bat jaso badugu, normalena da mezua kontu ezagun batetik etortzea, edo, bestela, contacto@banco.es, no-reply@banco.es, etab. bezalako kontuetatik. Baina mezu hau iritsi da bankuarekin zerikusirik ez duen helbide batetik: adibidez, jose_ramos@ cochesymotos.es. Garrantzitsua da karaktere bakoitza aztertzea, ez direlako gutxi letra bat aldatuz, antzeko grafia duen karaktere bat sartuz edo soinu bera duen karaktere bat erabiliz eginiko iruzurrak. Oro har, kontuz ibili behar da igorle ezezaguna duten mezuekin, eta beste bitarteko baten bidez egiaztatu: esaterako, telefonoz.

3.2 Igorle faltsutuak eta sinadura

Beste batzuetan, zibergaizkileek igorlearen helbidea faltsutzen dute, hartzailea lehen begiratuan iruzurrezko mezua dela ohar ez dadin. Teknika honi deitzen zaio email spoofing. Kasu honetan, mezua benetakoa den ikusteko, goiburuak aztertu behar dira. Informazio horrek, beste informazio askoren artean, balio dezake jakiteko ea mezua datorren egiazki igorlean adierazitako helbidetik, edo faltsua den. Hori eskuz egin badaiteke ere, gomendagarria da prozesua automatizatuko duten tresnak erabiltzea; hala nola Google-ek eskainitako Messageheader.

Jakiteko nola deskargatu posta bezeroei dagozkien goiburuak eta nola erabili Messageheader, irakurri blog sarrera hau:

• ¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos

Iruzurrezko mezu batean, sinadura da alarmak pitz ditzakeen elementuetako bat. Igorlearen sinadura ezagutzen badugu eta beti berbera erabiltzen badu, edozein aldaketak erne jarri behar gaitu, bai eta sinadurarik ez egoteak ere.

3.3 Ingeniaritza soziala mezuaren gorputzean eta gaian

Iruzurrezko mezu ia guztietan erabiltzen den beste tekniketako bat da hartzaileak premia edo larritasun moduko bat sentitzea eta berehala urrats jakin bat egitera bultzatzea. Zibergaizkileek ingeniaritza sozialeko teknikak erabiltzen dituzte biktimak haien tranpan erorarazteko: hala nola erantsitako dokumentu gaizto bat irekitzea, zerbitzu baten lekua hartu duen iruzurrezko web batera sartzea (phishing) edo ordainketa bat egitea.

Ohikoa da mezuetan esatea ordezten den zerbitzua ordu gutxiren buruan ezeztatuko dela, edo dagoeneko ezeztatua izan dela. Beste modu bat da dirua erabiltzea arreta pizteko; adibidez, erreklamatua izateko zain dagoen ustezko errenboltso bat. Edo sextortsio kasuetan gertatu ohi den moduan: mehatxu egiten zaio biktimari, gaizkileak jarritako epean amore eman ezean, ustez protagonista den sexu izaerako bideo bat haren kontaktu eta ezagunen artean zabaltzearekin.

3.4 Komunikazio inpertsonalak

Zibergaizkileek, iruzurrezko mezuak bidaltzean, modu inpertsonalean idazten dute testua, erabiltzaile, bezero eta antzeko terminoak erabilita. Aldiz, erakunde legitimoek komunikazio pertsonalagoak igorri ohi dituzte, hartzailearen izen-abizenak erabilita.

3.5 Dokumentu erantsi gaiztoak

Kontuz ibili behar dugu mezu elektronikoei erantsita datorkigun edozein dokumenturekin. Oro har, erakundeek (bankuak, erakunde publikoak, energia konpainiak, etab.) ez dute dokumenturik eransten beren mezu elektronikoetan. Fitxategi bat deskargatu behar bada, erakundearen web edo aplikazio ofizialetik egin behar da.

Hauxe da zibergaizkileek gure ekipoak malwarearekin infektatzeko erabiltzen duten modu nagusia. Bereziki arriskutsuak dira luzapen hauek dituzten fitxategiak:

• .exe – Windowsen ohiko fitxategi exekutagarria.
• .vbs – Visual Basic Script (exekutatu ere egin daiteke).
• .docm – Microsoft Word makroekin.
• .xlsm – Microsoft Excel makroekin.
• .pptm – Microsoft PowerPoint makroekin.

Kontuz ibili behar dugu ere fitxategi konprimatuekin (.zip edo .rar), aurrekoek bezala fitxategi gaiztoak izan ditzaketelako barruan.

Zalantzak badituzu erantsitako dokumentu bat infektatuta egon daitekeen, egokiena da erabiltzea antibirus bat edo VirusTotal bezalako online zerbitzuak, birusen aurkako motorrak erabiltzen dituztenak dokumentuaren benetakotasuna egiaztatzeko. Gogoratu: ez exekutatu inoiz erantsitako fitxategia; soil-soilik deskargatu, gero aztertzeko.

Dagozkion egiaztapenak egin ondoren, oraindik zalantzak badituzu dokumentu erantsiaren zilegitasunaz, ez ireki inoiz. Ahal bada, jarri harremanetan igorlearekin, beste kanal bat erabilita (telefonoz, adibidez), mezua eta dokumentu erantsia harenak diren jakiteko.

3.6 Testu akastuna

Mezu elektroniko batek ortografia akats larriak dituenean, iruzur seinale ia segurua izan ohi da. Iruzurrezko mezuek, batzuetan, ezohiko esapideak erabiltzen dituzte. Ezohiko esamoldeak erabiltzen dituzten mezuetan, nondik datozen aztertu behar da:

• INCIBE – Protege tu empresa – Blog - ¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos
• Virustotal

3.7 Faltsututako estekak

Phishing motako mezu elektronikoek, edo besterik gabe erabiltzailea iruzurrezko web batera bideratu nahi dutenek, esteka faltsutuak izan ohi dituzte. Normalean, erakunde ofizialek ez dute estekarik sartzen beren mezuetan, eta haien webgunera sartzeko eskatzen diote erabiltzaileari, haien web nabigatzailea edo aplikazio espezifikoa erabilita.

• INCIBE – Protege tu empresa – Blog - Busca otro al que engañar, yo no voy a picar

Mezu baten esteka nola egiaztatu azaldu aurretik, komeni da jakitea nola osatzen diren web helbideak. Adibidez, Universidad del País Vasco/Euskal Herriko Unibertsitatearen web ofizialaren esteka https:// www.ehu.eus/ da. Esteka horren atalak dira:

1. «https» - webgunera sartzeko erabiltzen den protokoloa.
2. «://» - protokoloa eta domeinua bereizteko sinboloak, web helbide guztietan erabiliak.
3. «www» - azpidomeinua, web domeinuaren azpimultzo bat da; adibidez, azpidomeinua «egoitza» duen egoitza elektronikoaren tresna, esteka izanik https://egoitza.ehu.eus/. Askotan, zibergaizkileek azpidomeinuak sortzen dituzte, erakunde legitimoaren lekuan jarri eta biktimak engainatzeko.
4. «ehu» - domeinua, bakarra da «.eus» erako luzapen bakoitzerako. Arreta bereziz egiaztatu behar den atala da, zibergaizkileek ezin dutelako kopiatu.
5. «.eus» - domeinuaren luzapena da, edo TLD (Top Level Domain, ingelesez (Iana - Root Zone Database).

Adibide hauen bidez, hobeto ulertuko dira kontzeptuak:

• https://adl.incibe.es – INCIBEren domeinu legitimoa; haren azpidomeinua da «adl». (INCIBE – Protege tu empresa - ¿Conoces tus riesgos?)
• https://adl.incibe.es.bestedomeinua.com – INCIBEren domeinu legitimo bat ordeztu nahi duen iruzurreko domeinua. Benetako domeinua da «bestedomeinua.com».

Zibergaizkileek erakunde edo enpresa bat ordeztuz biktimak engainatzeko erabiltzen duten beste teknika bat da cybersquatting izenekoa. Domeinuaren luzapena alda dezakete, eta jabe legitimoak erosi gabeko beste bat erabili, edo izena alda dezakete, egiazkoa simulatzeko moduan.

• INCIBE – Protege tu empresa – Blog - Cybersquatting, qué es y cómo protegerse
• INCIBE – Protege tu empresa – Blog - Aprende a detectar el cybersquatting contra tu marca

Mezu batean esteka bat zabaldu aurretik, egiaztatu egin behar da zer erakunderi dagokion esteka hori. Hainbat aukera daude:

• Outlook edo Thunderbird bezalako posta bezero bat erabiltzen bada, sagua estekaren gainean jartzean estekaren benetako helmuga agertzen da;
• Gmail bezalako web postako bezero bat erabiltzen bada, sagua estekaren gainean jartzean, kasu gehienetan, benetako helmuga agertzen da beheko ezkerreko izkinan;
• gailu mugikor bat erabiliz gero, esteka kopiatu eta itsatsi egin behar da, ohar blok batean, mezularitza aplikazio batean edo antzeko baliabideren batean, jakiteko zein den benetako esteka.

Behin egiaztapen horiek eginda zalantzak badituzu webgunearen benekotasunaren inguruan, gomendagarria da erabiltzea VirusTotal bezalako webgune analizatzaile bat.

Hori eginda ere zalantzak argitu ez badituzu, hobe da esteka ez zabaltzea.

Zibergaizkileak ez dira unibertsitatearen segurtasuna arriskuan jar dezaketen bakarrak, eta unibertsitateko kideek ere akatsak egin ditzakete. Erabiltzaileek eragindako gorabehera gehienak nahi gabeko akatsen ondorio dira. Hona hemen ohikoenak.

4.1 CC eta CCO

Mezu elektronikoak bidaltzea hartzaile bati baino gehiagori CC (Carbon Copy) aukera erabilita, CCO edo kopia ezkutua (edo BCC, Blind Carbon Copy, kasu batzuetan) erabili ordez, erakunde batean gerta daitekeen informazio ihes (kasu honetan, hartzaileen posta helbideak) ohikoenetako bat da. Mezu bat hainbat hartzaileri bidaltzean, beti erabili behar da CCO aukera, mezuaren hartzaileak gainerako hartzaileen helbideak ikus ez ditzan, mezu elektronikoa datu pertsonaltzat hartzen delako eta jabearen baimenik gabe zabaltzen ariko ginatekeelako.

4.2 Autobetetze funtzioa

Autobetetze funtzioak arazoak sor ditzake. Batzuetan, mezu elektroniko bat bidali nahi zaionean ohikoa ez den erabiltzaile bati, gerta daiteke autobetze funtzioak antzeko helbide bat jartzea eta gu ez konturatzea. Beraz, komeni da funtzio hau desgaitzea, ahal bada behintzat, edo, bestela, hartzailea ondo jarri dugula ziurtatzea, mezua bidali aurretik.

4.3 Irudiak automatikoki deskargatzea

Posta bezeroan irudien deskarga automatikoa gaituta edukitzea arriskutsua izan daiteke zure pribatutasun eta segurtasunarentzat. Irudiak erabiltzen dira monitorizatzeko mezu bat zabaldu den ala ez. Beraz, lan tresna hau erabiltzea pribatutasunaren kalterako izan daiteke. Gainera, egoera jakin batzuetan, irudien karga automatikoak ateak zabal diezazkioke malwareari. Horrenbestez, posible bada, komeni da beti aukera hau desaktibatuta edukitzea.