O plan de concienciación e formación en materia de seguridade da información foi aprobado na reunión do Comité de Seguridade da Información celebrada o día 15 de xaneiro de 2021. Dentro del se relacionan unha serie de actuacións para transmitir, ao persoal da USC, a necesidade de implantar métodos de traballo e comportamentos que incrementen o nivel de seguridade do tratamento da información dentro da nosa Organización.
A primeira acción, abordada conxuntamente pola Área de Seguridade da Información e a Área de Tecnoloxías da Información e das Comunicacións, foi a simulación dun ataque de phishing destinado a avaliar a resposta do persoal ante unha campaña de captación e suplantación de credenciais.
Ferramentas e metodoloxía
Utilizouse a ferramenta Gophish, do INCIBE (Instituto Nacional de Ciberseguridad) que proporciona unha plataforma para levar a cabo o ataque simulado e facer o seguimento do comportamento dos destinatarios ante o ataque.
Foron lanzadas tres campañas, para os tres grandes colectivos de persoal: PDI, PAS e Investigadores, a partir das 8:20 horas do día 22 de marzo de 2021.
O persoal recibía un correo electrónico informando dun cambio na forma de aboamento da nómina de marzo. Solicitaba unha confirmación de datos premendo nunha ligazón. A mensaxe, supostamente, proviña do Servizo de Xestión de Persoal e duns hipotéticos “Servizos Informáticos” da USC e tiña como remitente unha dirección inventada alertasnominausc [at] usc.es (alertasnominausc[at]usc[dot]es), co texto “Alertas nómina USC”. O asunto era “Nómina marzo - Cambios - Comprobación de datos”.
A ligazón incluída no correo levaba a unha reprodución do CAS da USC.
Cando a persoa introducía as súas credenciais, aparecía unha páxina elaborada para este propósito, titulada “Teña coidado en non caer en trampas coma esta!”, informando do que tiña pasado e proporcionando recomendacións cara ó futuro.
Ás 13:00 horas do día 23, foi enviado por USC-Difusión un comunicado, asinado polo Responsable de Seguridade da Información, dando conta a toda a comunidade universitaria da acción emprendida e dos motivos polos que levouse a cabo. Contiña, asemade, recomendacións de comportamento ante posibles ataques reais.
