Precaución ante la detección de un nuevo ataque informático

En las últimas horas se ha detectado un ataque de phising masivo a varios centros. Con el objetivo de prevenir y de informar, la Oficina de Seguridad comunica las siguientes pautas:

•   Un phising es un intento de engaño a la víctima, normalmente se realiza a través de correo electrónico, en el que incita a la víctima a descargarse un archivo o a abrir un enlace, bien sea para obtener sus credenciales o bien para infectar la máquina de la víctima con malware. En este caso, el phising intenta mediante un correo falso y un enlace a un sitio malicioso, simular ser un correo corporativo e incita a introducir las credenciales.
•  ¿Cómo reconocer el phising?

1.  Visualizar el emisor del mensaje, desconfiar si no tiene una dirección de origen corporativa de la Comunidad de Madrid (más aún cuando intenta hacerse pasar por un órgano Interno a la Consejería).
2.  Identificar los logos que adjunta en el cuerpo del correo, si no lleva logos no debe considerarse como un correo oficinal y desconfiar de sus intenciones.
3. Identificar si existe el órgano al que referencia, antes de realizar ninguna acción sobre las indicaciones a las incita el correo, comprobar su existencia.
4. Observar la Firma, los correo legítimos deben introducir un correo corporativo o un número de contacto.
5.  Si el correo intenta persuadir a la victima de introducir sus credenciales en un enlace (como es el caso), podemos clasificar el correo como un intento de phising. Ya que, las políticas de seguridad impiden que los usuarios restauren sus credenciales a través de enlaces, ni tampoco piden las credenciales por correo electrónico. Un correo legitimo avisaría al usuario de que se pusiera en contacto con su administrador, pero nunca le pediría cambiar las claves a través de un correo/enlace.

• ¿Cómo actuar una vez hayamos reconocido el phising?

1.  Lo primero y más importante, no descargarse ningún archivo, ni abrir enlaces que refiera el correo.
2.  Avisar lo antes posible, al responsable del informatica del centro, o en su defecto a la Oficina de Seguridad a través del correo oficina.seguridad@salud.madrid.org.
3. A continuación eliminar el correo e ignorar correos posteriores del mismo tipo, si se reenviasen al mismo destinatario.

•   ¿Qué hacer si se ha hecho clic en los enlaces o se han descargado y abierto los archivos que adjuntaban?

1. Avisar lo antes posible, al responsable del informatica del centro, o en su defecto a la Oficina de Seguridad a través del correo oficina.seguridad@salud.madrid.org, indicándoles lo sucedido e identificando al terminal con su IP y hostname.
2. Desconectar de internet el terminal, para prevenir la transmisión de malware por la red.
3. Ejecutar un análisis profundo con el antivirus, para descartar que el terminal se haya infectado. Posteriormente es necesario enviar las evidencias de la ejecución del análisis, junto con los logs para que la Oficina de Seguridad evalúe si es necesario tomar otras medidas sobre la máquina.
4. Confirmar las credenciales con las que el usuario se ha “logueado” en el enlace malicioso (si procediera). Si fuera así, las credenciales del usuario pueden haber quedado expuestos a un cibercriminal, por lo que sería necesario realizar un cambio de contraseña del usuario y de su correo electrónico.

Para cualquier duda o aclaración, podéis contactar con la Oficina de Seguridad al correo deoficina.seguridad@salud.madrid.org.