Skip to main content

Comprobando a nosa resposta

Ataque simulado ás contas institucionais de correo electrónico.

O plan de concienciación e formación en materia de seguridade da información foi aprobado na reunión do Comité de Seguridade da Información celebrada o día 15 de xaneiro de 2021. Dentro del se relacionan unha serie de actuacións para transmitir, ao persoal da USC, a necesidade de implantar métodos de traballo e comportamentos que incrementen o nivel de seguridade do tratamento da información dentro da nosa Organización. 

A primeira acción, abordada conxuntamente pola Área de Seguridade da Información e a Área de Tecnoloxías da Información e das Comunicacións, foi a simulación dun ataque de phishing destinado a avaliar a resposta do persoal ante unha campaña de captación e suplantación de credenciais.

Ferramentas e metodoloxía 

Utilizouse a ferramenta Gophish, do INCIBE (Instituto Nacional de Ciberseguridad) que proporciona unha plataforma para levar a cabo o ataque simulado e facer o seguimento do comportamento dos destinatarios ante o ataque.

Foron lanzadas tres campañas, para os tres grandes colectivos de persoal: PDI, PAS e Investigadores, a partir das 8:20 horas do día 22 de marzo de 2021. 

O persoal recibía un correo electrónico informando dun cambio na forma de aboamento da nómina de marzo. Solicitaba unha confirmación de datos premendo nunha ligazón. A mensaxe, supostamente, proviña do Servizo de Xestión de Persoal e duns hipotéticos “Servizos Informáticos” da USC e tiña como remitente unha dirección inventada alertasnominausc [at] usc.es (alertasnominausc[at]usc[dot]es), co texto “Alertas nómina USC”. O asunto era “Nómina marzo - Cambios - Comprobación de datos”. 

A ligazón incluída no correo levaba a unha reprodución do CAS da USC. 

Cando a persoa introducía as súas credenciais, aparecía unha páxina elaborada para este propósito, titulada “Teña coidado en non caer en trampas coma esta!”, informando do que tiña pasado e proporcionando recomendacións cara ó futuro. 
 
Ás 13:00 horas do día 23, foi enviado por USC-Difusión un comunicado, asinado polo Responsable de Seguridade da Información, dando conta a toda a comunidade universitaria da acción emprendida e dos motivos polos que levouse a cabo. Contiña, asemade,  recomendacións de comportamento ante posibles ataques reais. 
 

The contents of this page were updated on 07.19.2022.