Garai txarrak bizi ditugu segurtasun informatikoari dagokionez. Gero eta funtsezko informazio gehiago gordetzen dugu gure gailuetan, eta, ondorioz, gailuok zein haietan erabiltzen ditugun kredentzialak gero eta erakargarriagoak dira lapur eta abarrentzat. Eusko Jaurlaritzak berak publikoki onartu berri du EAEn soilik %80 egin dutela gora delitu informatikoek azken lau urteotan. Delitu horien %90, gainera, iruzurrak ei dira.
Jaurlaritzaren iturrietara jo gabe ere, erraz sumatu daiteke hazkunde hori ingurura begiratuz gero. Azken astebetean, euskal txiosferako bi eragile garrantzitsuk salatu dituzte “hackeatu dituztela”: Aiaraldea toki komunikabideak, batetik, eta Pantailak Euskaraz ekimenak, bestetik.
Kasu bietan ere, erasotzaileen jokabidea oso antzekoa izan da: biktimaren sare sozialen sarbidea eskuratu eta, bat-batean, ingelesezko mezuak botatzen hasi dira, Twitter, Facebook zein Youtuben bertan ere, zer eta kriptotxanponen eta NFTen inguruko publizitate masiboa eginez. (Kripto eta NFTen mundu horretan nire ustez behintzat metatzen den gaizkiaren inguruan beste batean mintzatuko gara). Ondorioa oso antzekoa izan da kasu bietan. Aiaraldeari, Youtubek bere kanal osoa ezabatu dio, erasotzailearen bideoek erabilera baldintzak larriki urratzen zituztelako. PantailakEuskarazen Twitter kontua ere ezgaitu egin du Twitterrek, seguruenik arrazoi berberagatik.
Gertakariak aztertuta, ematen du ‘eraso informatiko’ edo ‘hack’ batena, baino, iruzur informatiko baten biktima izan dira Aiaraldea zein Pantailak Euskarazeko lagunak. Hau da: kontua ez da (lehen begiratuan ematen duenez, beti ere) informatikari maltzur batzuk batu, biktimen zerbitzarien segurtasun akatsak bilatzen hasi eta horiek erabili dituztela biktimen makinetan sartu eta kontrola eskuratzeko. Oker egon naiteke, eta hala bada, barkatu, baina itxura guztia du ingelesez ‘scam’ deitzen zaionaren biktima izan direla: erasotzaileek trikimailuren bat erabili dute biktimak engainatu eta haien kontuen sarbidea eskuratzeko, eta gero nahi duten modura erabili dituzte kontu horiek. Jaurlaritzak lehengoan salatzen zituen delitu informatiko guztien %90 horrelaxe egiten dira, iruzur eta gezurren bidez. Azken finean, sistema informatiko batean segurtasun atalik ahulena, eta gehienetan saltatzen errazena, gu geu baikara, erabiltzaileok. Pazientzia eta abilezia apur batekin, askoz errazagoa da pasahitzak erabiltzaileongandik zuzenean jasotzea, deszifratzen saiatzeko algoritmo konplexuak erabiltzea baino.
Ohiko iruzur motak
Honezkero mila bider ikusiko zenituen honelako abisuak, baina badaezpada ere, hona hiru iruzur informatiko mota ohikoenak. Biktima ez izateko, garrantzitsuena da engainua lehenbailehen identifikatzea. Ikus ditzagun, beraz:
Phishing
Zaharrena eta ohikoena da. Ingelesezko ‘fishing’ hitzetik dator. Arrantzan bezala, biktimari amu bat jartzen zaio, eta iruzurrak arrakasta izateko, gakoa da biktimak amu hori irenstea. Amu hori banku, telefonia edo mezularitza enpresa batek bidalitakoa dirudien posta elektronikoko mezu bat izaten da. Berdin da nondik datorren, eskema beti da berdina: zerbait larria gertatu da jasotzen duzun zerbitzuan, eta premiazkoa da zure datuak sartzea lehenbailehen, zerbitzua berreskuratzeko. Gezurra da, noski; helburu bakarra zure datuak (erabiltzaile izena eta pasahitza) lortzea da, horrela zure erabiltzaile kontura eta zure datuetara sartu ahal izateko.
Adibidez: “XXX bankua gara. Norbait sartu da zure kontu korrontean eta segurtasunagatik blokeatu egin dugu. Une honetan ezin duzu eragiketarik egin. Mesedez, sartu zure kontu zenbakia eta pasahitza kontua desblokeatzeko”. Mezuan bertan lotura bat izaten da, eta bertan klik eginez gero, bankuarena dirudien webgune batean sartuko gara. Trikimailua da webgunea ez dela benetan bankuarena. Gure kontu zenbakia eta pasahitza bertan sartzen dugunean, erasotzaileek erabiliko dute gure bankuan sartu eta gure kontutik dirua atera edota bertatik ordainketak agintzeko.
Jokaera berdina erabiliz, simulatu dezakete zure telefonia enpresa direla, edo Facebok/Twitter/ Instagram edo antzeko bat, edo zure posta elektronikoko hornitzailea, batez ere Gmail, Outlook edo horrelakoren bat erabiltzen baduzu. Horrela, zure diru-kontuak baino, zure pasahitzak lortu ahalko dituzte, eta zure izenean jardun sare sozialetan, besteak beste zure lagun eta jarraitzaileak ere engainatzen saiatzeko.
Nola antzeman phishing mezu bat?
Zorionez, gaur egun email hornitzaile nagusienek automatikoki antzematen dituzte iruzur mezuak, eta Spam karpetara eramaten dituzte.
Hala ere, gerta liteke iragazkiak kale egitea, eta iruzur mezuren bat zure sarrera ontzira iristea. Hau da niri azken boladan iritsi zaizkidanetako bat. Teorian, DreamHost enpresarena da, nire webguneak kudeatzeko erabiltzen dudan zerbitzuarena. Baina baditu zantzuak faltsua dela argi uzten dutenak:
1.- Mezuaren bidaltzailea. Ustez, mezua Dreamhostetik dator. Baina erreparatu bidaltzailearen helbideari. ‘support@dreamhost.com’, edo ‘contact@dreamhost.com’ edo horrelako zerbait baino, zerikusirik ez duen ‘contact@mg-gokart.at’ da. Berez, hori arrazoi nahikoa da mezua zakarrontzira botatzeko.
2.- Mezua bera, eta bereziki agurra. Zerbitzua ematen diguten enpresek gure datu guztiak dituzte (ez soilik gure emaila) eta beraz badakite gure izena zein den. Sekula ez ligukete agurtuko, ‘Kaixo, maitea!‘ estiloko esaldi batekin.
Demagun, hala ere, sinistu dugula mezua, eta aurrera egin dugula, botoi urdinean klik eginez. Batzuetan klik egitea bera nahikoa izan daiteke zure gailura automatikoki exekutatu daitekeen birus edo troiar bat deskargatzeko. Beste batzuetan (honetan bezala), erasotzailearen helburua guk gure kredentzialak ematea da.
Zorionez, email zerbitzuak bezala, nabigatzaileak ere gauza dira iruzur webgune gehienak antzemateko. Nire kasuan, botoi urdinean klik egin eta webgunea irekitzen saiatzean, Firefoxek abisu gorri eskandaloso hau erakutsi dit:
Hala ere, aurrera egin eta Dreamhosten webgunea dirudien batean sartu naiz. Emailean bezala, goiko barran erreparatuz gero, konturatuko zarete helbideak ez duela ‘dreamhost.com’ bukaeran, baizik eta guztiz bestelako bat. Hor nire erabiltzailea eta pasahitza sartuko banitu, akabo: erasotzaileek nire benetako kontuan sartuko lirateke, eta hortik aterako lukete nire bankuko kontu zenbakia edo kreditu txartela, baita nire webgune guztien sarbidea, nahi dutena idatzi edo ezabatzeko.
Lehen aipatu dudan moduan, horrelako mezuak gure zerbitzu enpresetatik datozelakoan bidaliko dizkigute. Izan daiteke interneteko zerbitzu bat, edo banku bat, adibidez. Nik ez daukat konturik Santander bankuan, baina hau ere jaso dut egunotan:
Kontuz telefono aplikazio ez-ofizialekin!
Antzeko sistema detektatu izan da batzuetan telefono aplikazio dendetan, batez ere Whatsapp, Facebook eta Instagramekin lotuta. Halako batean, ‘Whatsapp Plus’ edo ‘Facebook Pro’ edo antzeko izena duen aplikazio bat agertzen da zure telefonoko aplikazio dendan, edo, okerragoa dena, aplikazioak deskargatzeko gune ez-ofizialen batean. Amua oso antzekoa izaten da beti: aplikazio ofizialak baino aukera gehiago edo abiadura handiagoa eskainiko dizute, edo pisu txikiagoa memorian, edo iragarkien kontrako filtroa, edo ordainpeko aukerak ordaindu beharrik gabe… Gauza da aplikazioa ireki eta lehenengo gauza zure kredentzialak eskatzea izango da. Behin kredentzialak sartuta (erabiltzaile izena eta pasahitza), iruzurgileek zure benetako kontuan sartu ahalko dira, eta haiekin nahi dutena egin (barruan sartuta izan dezakezun informazio pertsonala euren alde edota zure kontra erabiltzea barne).
Smishing
Smishing aurrekoaren antzeko iruzurra da, baina mezua posta elektroniko bidez baino, SMS bidez iristen da.
Aurrekoan bezala, esaten zaigu gure zerbitzua blokeatu dela, eta eskatzen zaigu gure datuak sartzeko webgune batean. Kasu honetan, bbva.com edo bbva.es baino, en-linea.ru helbidera bidali nahi gaituzte. Segi korrika eta ez begiratu atzera!
Beste batzuetan, amua izan daiteke zozketa batean irabazle suertatu garela, edo enpresa ezagun baten sustapen berezi bat dagoela.
Eraso honen bigarren aldaera bat ere badago, askoz ere arriskutsuagoa. Mezu bat bidaliko digute, gure erantzuna eskatzen duena: “Eiii! Aspaldiko, zer moduz?”, adibidez. Erantzuten badugu, SMS premium harpidetza sistema batean alta emango digute automatikoki, eta hilabetero kopuru txiki bat kobratuko digute, gure telefono fakturaren bitartez. Mezu horiek ere erraz antzeman daitezke, normalean zenbaki berezietatik baitatoz (3,4,5 zifrako zenbaki berezietatik, ez telefono zenbaki arruntetatik).
Vishing
Kasu honetan ere, iruzurraren helburua berbera da: gure datuak lortzea gure izenean eragiketak egin ahal izateko. Baina testuz baino, saiakera ahots dei arrunt baten bidez egiten dute: bankutik deitzen dizut eta zure datuak behar ditugu zure kontua konfirmatzeko, argindar enpresatik deitzen dizugu eskaintza bat aplikatzeko, baina horretarako zure NAN eta kontu zenbakia eman behar diguzu, norbait saiatzen ari da zure kontura sartzen eta konpondu behar dugu, faktura bat duzu ordaindu gabe… Deia oso estudiatua dagoenez, operadoreak oso tonu oldarkorrean hitz egingo dizu, edo-eta, zu larritzeko moduan, aditzera emanez oso gauza larria gertatzen ari dela eta berak esaten duen guztia egin behar duzula.
Horrelako dei bat jasoz gero, eskegi berehala, eta zuk zeuk deitu zure konpainiara, arazoa konfirmatzeko. Ez eman inoiz zure datu pertsonalak (NAN zenbakia, kontu zenbakia, bankuko edo kreditu txarteleko gakoak) zuk eskatu gabe JASO duzun dei batean!
Mesedez, kontuz ibili gauza hauekin. Ez dago antibirus VPN edo bestelakorik zuk zeuk egindako kliketatik edo ahoz emandako datuetatik babestuko zaituenik. Iruzur hauek gehienak ez dira eraso teknikoetan oinarritzen, erabiltzaileon konfiantza lortzean baino. Ez fidatu, beraz, itxura susmagarria duten mezuekin!
[…] Horrelakoak dira hiru iruzur informatiko ohikoenak […]
[…] Joxe Rojasek Teknopataren Txokoa blogean. […]