Campanya de phishing ètic a la UB: vas caure en el parany?

Fa unes setmanes es va fer una campanya de phishing ètic a la UB. Es van trametre més de quatre mil correus electrònics  «maliciosos» a una mostra de les persones que treballem a la UB, sense cap conseqüència negativa més que ser un test de vulnerabilitats. La informació d’aquesta campanya és confidencial i així és tractada. Cada dia arriben correus maliciosos i volem ajudar-te a generar hàbits segurs, tant personals com institucionals. Els pirates informàtics volen diners, volen fer mal i no distingeixen entre àmbits personals o professionals, per això, volem compartir unes pautes per ajudar-te a detectar missatges de correu fraudulents i marcar les actuacions posteriors.   Qualsevol dels punts següents t’hauria de posar en alerta si reps un correu que:

  • no esperes ni té cap relació amb la teva activitat professional o personal,
  • et demana dades personals (inici de sessió, contrasenyes, comptes bancaris, número del mòbil …),
  • està enviat des d’una adreça de correu estranya (adreces amb lletres i números barrejats, dominis poc habituals o no relacionats amb la nostra activitat…)
  • està escrit en un idioma que no és l’habitual en les teves comunicacions, amb faltes d’ortografia o estructures gramaticals no gaire correctes,
  • t’anuncia que has estat premiat o t’ofereix increïbles promocions o ofertes,
  • s’expressa amb un to amenaçant o amb urgència perquè facis alguna acció immediata.

– Exemple d’un correu de tipus phishing  que inclou algun dels elements esmentats –

MAI proporcionis cap dada personal en resposta a un correu  ni facilitis les teves credencials o facis cap pagament sense assegurar-te abans que la petició és real. Davant de qualsevol sospita, no cliquis cap enllaç o descarreguis cap adjunt.

En  qualsevol missatge  pot haver-hi un enllaç amb un text o un botó que no coincideix amb l’adreça a la qual apunta. Passa el ratolí o el cursor sobre l’enllaç o el botó i fixa’t a quina adreça apunta.

– Exemple de correu amb enllaç que apunta a una web maliciosa –

En una connexió insegura, per evitar el pharming, quan hagis d’introduir dades personals, presta atenció que l’URL contingui el forrellat HTTPS i que tingui un certificat d’autenticitat clicant al damunt.

 – Exemple d’URL amb forrellat https –

Recorda que davant de qualsevol dubte, pots posar-te en contacte amb el PAU, facilitant una captura del missatge on surti el remitent, assumpte i cos del missatge. Amb aquesta informació podrem analitzar el missatge i aplicar diferents accions preventives i proactives.

T’animem que facis aquestes formacions que t’ajudaran a aprofundir coneixements i estar més preparat en temes de ciberseguretat:

Gràcies per la teva col·laboració!

Autenticació moderna en tots els clients de correu

A partir de l’1 d’octubre d’enguany, Microsoft ha anunciat la desactivació de l’autenticació bàsica (Basic Auth) per a tots els clients de correu.

Aquesta actualització implicarà que els diferents clients de correu que es connectin per accedir a les bústies de correu UB, hauran de fer servir obligatòriament l’autenticació moderna (basada en OAuth 2.0).

Per què es fa aquesta actualització?

Es tracta d’una mesura de seguretat necessària i obligada. L’autenticació bàsica envia els noms d’usuari i contrasenyes en cada sol·licitud, aquest comportament augmenta el risc que ciberdelinqüents puguin capturar les credencials. El nou protocol soluciona i reforça les mesures de seguretat en l’enviament i recepció de correu.

Quines implicacions té aquesta actualització?

Si el teu client de correu no accepta l’autenticació moderna, no podràs accedir a les bústies de correu de la Universitat on tens permisos.

Faig servir el client Outlook, com sé si accepta l’autenticació moderna?

El dia 1 de novembre de 2021, les versions obsoletes d’Outlook ja no es van poder connectar al correu del núvol. Les versions suportades actualment per Microsoft són:

  • Office 2013 (a partir de la versió 15.0.4971.1000)
  • Office 2016 (a partir de la versió 16.0.4600.1000)
  • Office 2019
  • Office 365

Qualsevol d’aquestes versions  funciona amb autenticació moderna.

Si vols saber quina és la teva versió del client Outlook fes el següent:

Obre l’Outlook – FitxerCompte de l’Office – Fes clic sobre “Quant a l’aplicació Outlook

Faig servir un altre client diferent d’Outlook

La majoria dels clients de correu electrònic de tercers moderns ja admeten l’autenticació moderna. Comprova les opcions de configuració del teu client i actualitza’l si s’escau.

Recorda que, sempre pots accedir al correu de la UB, a través del client web, accedint al Núvol UB.

Per a més informació sobre aquesta actualització, consulta la notícia publicada per Microsoft.

OneDrive: què i com compartim informació

OneDrive és una de les diferents aplicacions que formen el Núvol UB. La seva finalitat és  l’emmagatzematge d’informació personal relacionada amb el nostre treball o activitat a la UB.

És la nostra biblioteca personal de documents on podem pujar, crear i editar fitxers que són accessibles des de qualsevol dispositiu i en qualsevol moment i que podem compartir quan i amb qui vulguem.

En aquesta entrada del blog ens volem centrar en aquest últim punt: la compartició de fitxers des de OneDrive centrant-nos en dues opcions: la carpeta Compartit amb tots els usuaris i la compartició d’enllaços amb qualsevol persona que tingui el vincle.

En tots dos casos, cal tenir molta cura i ser molt restrictius en fer-ne ús. En cap cas, hem de fer-les servir per compartir fitxers que puguin contenir informació sensible, que sigui de caràcter confidencial o que inclogui  dades de caràcter personal.

1 – Carpeta Compartido con todos los usuarios

Molts de nosaltres tenim en el nostre OneDrive una carpeta anomenada “Compartido con todos los usuarios” que es va crear quan es van donar d’alta tots els nostres comptes al Núvol UB (per les noves adreces posteriors ja no es crea aquesta carpeta)

Tota la informació que es guarda dins d’aquesta carpeta és susceptible de ser consultada per qualsevol membre de la Comunitat UB: PAS, PDI, personal col·laborador o estudiants. Cal ser molt curosos i conscients del que guardem aquí i eliminar qualsevol document que tinguem si ja no cal que tingui aquest caràcter públic. Recomanem revisar periòdicament el contingut d’aquesta carpeta i eliminar o moure el seu contingut a una altra carpeta més privada o eliminar-la directament si no és necessària.

El cercador del Núvol UB només troba informació d’aquells fitxers on tenim algun tipus de permís i, quan creem o guardem un document en aquesta carpeta, automàticament, estem donant permisos a tots els usuaris de la UB i, per tant, el podran cercar i trobar.

2 – Compartir fitxers amb qualsevol persona que tingui el vincle

Quan decidim compartir un fitxer o una carpeta del nostre OneDrive tenim l’opció de decidir com i a qui.

Cal evitar al màxim l’opció Qualsevol persona que tingui el vincle,  però en cas que sigui necessària, és molt recomanable activar també diferents opcions en aquesta compartició per fer-la més controlada com no permetre l’edició, establir una contrasenya o una data d’expiració d’aquest vincle.L’opció Qualsevol persona que tingui el vincle,  dona accés a qualsevol persona que rebi el vincle, sigui perquè l’ha rebut directament o perquè li ha reenviat una altra persona, i això també inclou persones de fora de la UB.

Campanya de phishing ètic a la UB: tu l’has rebut?

Un phishing ètic és una campanya d’atacs simulats amb tècniques reals, on es fan enviaments de correus presumptament maliciosos als membres d’una organització.

Per què es fa?

L’objectiu principal es conèixer el grau de maduresa de l’organització respecte als ciberatacs i més en concret als atacs de correus de tipus phishing que són la principal font d’entrada de malware.

Com funciona?

Amb el propòsit d’aconseguir la informació més fidedigna i prendre les mesures més eficients, les organitzacions planifiquen campanyes de phishing ètic amb l’elaboració d’un o més missatges que, de manera massiva i en curt període de temps, s’envien al seu personal.

El text del missatge s’adapta als requeriments de l’organització (per temàtica, idioma, logos…) emprant també les tècniques habituals d’aquest tipus de missatge: urgència, exigència o ambigüitat perquè l’usuari cliqui l’enllaç.

L’enllaç no apunta al servei o pàgina legítima sinó a una de falsa que, en cas d’un phising ètic, no és en sí maliciosa.

En temps real, es recullen estadístiques de les interaccions dels usuaris per conèixer qui ha obert l’enllaç, qui ha facilitat credencials…

Què es fa amb la informació recollida?

Amb la informació obtinguda sobre el nostre comportament respecte al correu rebut, es planifica una campanya de comunicació, conscienciació i formació en temes de ciberseguretat.

Per què s’ha fet una campanya a la UB?

Així com es fan de manera periòdica simulacres amb alarmes d’emergència que ens ajuden a millorar els protocols de seguretat i prevenció de riscos en el nostre lloc de treball, les campanyes de phishing ètic són una de les mesures recomanades per prevenir i minimitzar els ciberatacs.

Com qualsevol organització, la nostra no és aliena als diferents ciberatacs que s’han incrementat i sofisticat de manera alarmant en els últims temps.

Des de l’Àrea TIC i sota l’encàrrec del Vicerectorat de Transformació Digital, s’ha considerat necessari fer una campanya d’aquest tipus.

Des de dimecres dia 20 al migdia fins dissabte 23, s’han enviat de manera massiva al PAS i PDI correus amb diferents assumptes: “S’ha actualitzat correctament el Ticket”, “Urgent” , “Signatura urgent a la nòmina”.Som conscients que els correus enviats han estat “molt reals”; que de manera deliberada, hem estat lents en publicar avís en la nostra web i que, per raons òbvies a la mateixa campanya, no hem bloquejat les adreces de correu emissores i hem deixat que lliuréssim tots els missatges. Així mateix s’han desactivat, per aquestes adreces, i seguint les instruccions de l’empresa que ens ha fet el phising ètic, les defenses a nivell de servidor de correu per permetre la recepció massiva d’aquests missatges.

El servei del PAU ha rebut una allau de consultes, moltes d’elles per informar-nos de la recepció d’aquest correu que heu detectat com a fraudulent, la qual cosa ens indica que molt de vosaltres ja esteu al cas del risc dels correus phishing, altres usuaris que heu clicat en algun dels enllaços, també se us ha indicat que féssiu un canvi de contrasenya, en aquest cas no hagués calgut, però l’objectiu de la campanya és formar i el canvi de contrasenya sempre és un pas obligat en cas de caure en un phishing.

Des de l’Àrea TIC volem manifestar que en cap cas s’han recollit credencials i disposem d’un contracte de confidencialitat i de destrucció de les adreces facilitades.

Amb aquesta campanya, des de l’ATIC aprofitarem també per millorar els nostres procediments interns i ser més efectius en cas d’un àtac real.

Amb l’anàlisi de les estadístiques prendrem diferents mesures per conscienciar i prevenir aquest tipus d’atac i, en definitiva, com organització, aconseguirem estar més preparats davant d’un ciberatac.

Gconvenis, la nova aplicació per a la gestió de convenis

S’ha posat en producció la primera fase del projecte d’informatització de la gestió de convenis mitjançant la implementació de l’aplicació Gconvenis. Amb aquest nou aplicatiu, es dona resposta a la necessitat de digitalitzar tota una sèrie de procediments que fins ara es feien manualment.

Gconvenis és l’aplicació per a la gestió integral de tots els procediments adreçats a la tramitació dels convenis de la Universitat de Barcelona amb entitats externes.

En faran ús, a més de la unitat de Serveis Jurídics i Convenis, els diferents càrrecs que tenen la potestat de promoure convenis dintre del seu àmbit de competències, i totes les unitats organitzatives que poden participar en la seva negociació i/o validació dintre de la UB.

La unitat de Serveis Jurídics i Convenis, mitjançant l’aplicació, informarà les unitats implicades de les accions i tasques assignades que aquestes podran dur a terme a través de l’enllaç que rebran en la corresponent comunicació.

 En aquesta primera fase ja està operatiu:

  • la petició de la tramitació de nous convenis
  • la seva negociació interna gestionada per la unitat de Serveis Jurídics i Convenis
  • l’elaboració i aportació dels certificats i validacions necessàries
  • la signatura definitiva per part de la Universitat de Barcelona i la resta d’entitats participants

– Pantalla amb menús per accedir a diferents apartats de l’aplicació –

En fases successives s’implementaran la resta de procediments i funcionalitats, entre les quals s’inclouran les pròrrogues i les addendes.

Aquesta aplicació ha estat desenvolupada íntegrament per l’Àrea TIC, atesos els requeriments funcionals de la unitat de Serveis Jurídics i Convenis i amb el suport de la unitat Administració Electrònica i Identificació Corporativa, integrant-se plenament amb tots els serveis disponibles a la UB.

Si teniu qualsevol dubte respecte a l’aplicació, us podeu adreçar a la unitat de Serveis Jurídics i Convenis.

Malwarebytes, un cas d’instal·lació de programari que incompleix els T&C

Aquest mes de gener de 2022 la UB ha estat requerida per regularitzar una situació de manca de llicenciament d’un producte de programari, en concret malwarebytes, un software anti-malware. El procés de regularització ha finalitzat amb un acord en el qual, a canvi d’una quantitat econòmica, el publisher (desenvolupador del programari i qui disposa del copyright) ha renunciat a denunciar a la UB.

L’origen de les instal·lacions, totes en equips propietat UB, ha estat la descàrrega i posterior instal·lació d’aquest programari per part dels usuaris finals de l’equip.

Des dels serveis TIC hem pogut comprovar que la informació facilitada pel fabricant, amb detalls dels equips on estava instal·lat el programari, era correcta i les instal·lacions han estat verificades com a no llicenciades.

En aquest cas no es tractava de programari ‘sense llicència’, sinó que el trencament de la legalitat ha estat no respectar els termes i condicions (T&C) de la llicència del fabricant, que autoritza a descarregar i instal·lar el programari en els equips personals (privats) dels usuaris (home use) de forma gratuïta, però prohibeix fer-ho als equips corporatius, en els que s’exigeix la contractació de la corresponent llicència.

Tot i tractar-se d’actuacions individuals ‘de bona fe’, en cap cas ha eximit a la nostra institució de rebre la reclamació corresponent i actuar en conseqüència.

Des de l’Àrea TIC estem ja finalitzant la desinstal·lació d’aquest software dels equips gestionats i, si es detecta en altres equips, per motius legals, també es procedirà a la seva desinstal·lació. En breu enviarem un correu electrònic als usuaris dels equips a on hem realitzat aquestes accions informant de la desinstal·lació i de les premisses més importants que cal saber.

Qualsevol programari disposa de processos i connexions permanents entre l’equip on està instal·lat i els servidors propis del fabricant (relacionats amb l’activació, l’actualització …), processos que sovint requereixen autorització explícita i que es dona de facto a l’hora d’instal·lar el programari. Us demanem doncs responsabilitat en les instal·lacions de qualsevol programari en el vostre equip corporatiu. Si trobem altre software que incompleixi termes i condicions, també procedirem a la seva desinstal·lació.

Recordeu que, com usuari final de qualsevol equip de la UB , sou els responsables quan descarregueu i instal·leu programari.  Heu de validar i informar-vos prèviament si aquest disposa de la llicència corresponent i  si es compleixen els termes i condicions (T&C) (document d’obligat compliment) de l’ús que en voleu fer.

Si teniu dubtes sobre el llicenciament necessari i sobre quins termes i condicions (T&C) apliquen, si us plau, obriu un tiquet al PAU i us assessorarem sobre si aquesta instal·lació i l’ús que en voleu fer, hi queda coberta.

microCLAUDIA, nova mesura per protegir els equips corporatius d’atacs de malware

Des de l’Àrea TIC estem desplegant microCLAUDIA, una nova mesura de seguretat que permet protegir els equips corporatius de la Universitat de programari maliciós (malware).

Què és microCLAUDIA?

microCLAUDIA és una solució de seguretat del  Centre Criptològic Nacional (CCN-CERT) que proveeix d’un conjunt de vacunes per impedir l’execució de codi maliciós,  principalment de tipus ransomware, en equips amb sistema operatiu Windows.

Com es vacuna un equip?

L’equip es vacuna amb la instal·lació d’un agent que desplega les vacunes i les va actualitzant. Hi ha dos tipus de vacunes: les preventives que detecten processos potencialment perillosos i els atura i les reactives que impedeixen l’execució del codi maliciós. L’eina es comunica periòdicament amb el servidor central de vacunes. Un cop es descarrega una vacuna a l’equip, apareix una notificació en el tauler de notificacions.

Com s’instal·la l’agent en els equips corporatius de la Universitat? 

L’agent s’instal·la de forma desatesa mitjançant les eines de desplegament de programari que gestiona l’Àrea TIC. Un cop instal·lat, apareix una icona a la barra inferior que confirma que l’eina ha estat instal·lada correctament. 

Quan s’instal·larà l’agent en el meu equip?

En els equips que estan en el Directori Actiu,  s’instal·larà de manera automàtica i transparent per l’usuari durant aquests dies, en la resta d’equips s’anirà fent de manera progressiva. Si el teu equip no està en Directori Actiu i vols disposar de l’agent ja, pots obrir un tiquet al PAU i un tècnic l’instal·larà.

La instal·lació d’un agent en el meu equip, pot afectar el rendiment d’aquest?

No, es tracta d’un agent lleuger, que no interfereix o afecta el rendiment de l’equip. Ja ha estat en funcionament en una fase pilot, en els equips del Pavelló Rosa.

Rebo alguna notificació si es detecta un fitxer infectat?

No, des de l’Àrea TIC  es monitoren les alertes de fitxers infectats i es prenen les mesures adients en cas que sigui necessari fer alguna acció addicional sobre l’equip.

Han aparegut dos fitxers en el meu equip que jo no he creat

Si al teu equip trobes aquests dos fitxers:
c:\aaa_TouchMeNot_.txt
c:\Heil Egregor\1488\ficker.py
no els esborris, s’instal·len com a part de les vacunes de l’agent de microCLAUDIA.

El meu equip corporatiu no té el sistema operatiu Windows, pot tenir l’agent?

No, en l’actualitat microCLAUDIA únicament es pot instal·lar  en sistemes operatius Windows.

Tinc un equip personal, puc instal·lar-me l’agent?

No, la llicència d’ús només permet la instal·lació en equips corporatius de la Universitat.

Ja tinc un antivirus a l’equip, per què cal un altre?

Aquest programari no substitueix l’antivirus de l’equip que cal que estigui actiu i actualitzat en tot moment. microCLAUDIA és una solució de seguretat complementària als antivirus, ja que proporciona una protecció addicional davant de les amenaces de codi maliciós, principalment de tipus ransomware.

Més informació sobre microCLAUDIA. Per qualsevol dubte, pots contactar a través del PAU.

La importància dels termes i condicions de les llicències de programari

Els termes i condicions (T&C) de les llicències de programari ens diuen on, quan, com i qui pot utilitzar una llicència de programari.

És molt important que els revisem abans de contractar una llicència o fer la instal·lació en un equipament, sigui propietat de la UB o particular, per assegurar-nos que estem fent un ús correcte d’aquesta. No és el mateix una llicència comercial que una llicència acadèmica i no és el mateix una llicència per ús en equips particulars que per equips corporatius.

Un ús no cobert explícitament pels T&C és un incompliment de la llicència, i els fabricants poden exigir compensacions econòmiques per aquest mal ús, també la reputació de la Universitat pot queda compromesa i devaluada la seva imatge corporativa.

Cada fabricant estableix els seus termes i condicions, i no hi ha una norma general que puguem aplicar a tot el programari. El que sí que és segur és que cal complir amb els T&C.Des de la nostra experiència us fem algunes recomanacions que us ajudaran a determinar si esteu utilitzant correctament les llicències i no incomplir els T&C:

Reviseu el nombre d’instal·lacions

  • Les llicències indiquen explícitament el nombre d’instal·lacions autoritzades. Si supereu el nombre d’instal·lacions, estareu incomplint el T&C.
  • Davant d’una auditoria cada instal·lació computa. Si no utilitzeu un programari en un equip millor que el desinstal·leu.
  • Si una llicència és concurrent (permet un nombre il·limitat d’instal·lacions, però només un nombre execucions simultànies limitades), podreu instal·lar el programari a tants equips com necessiteu, però haureu de controlar el nombre d’execucions simultànies. És molt important que en el moment de la contractació el fabricant us especifiqui la concurrència i com l’heu de gestionar. Alguns fabricants proporcionen eines pel control de la concurrència però d’altres no, i deixen sota la responsabilitat de l’usuari la seva gestió i control.

Reviseu l’àmbit d’aplicació

  • Els fabricants ofereixen preus especials de les seves llicències per institucions acadèmiques com la nostra, però restringeixen el seu àmbit d’aplicació. És habitual que aquestes llicències només es puguin fer servir pel personal de la institució per activitats docents o recerca sense ànim de lucre i dins la institució. Si fem ús de la llicència per a qualsevol altra activitat no coberta en els T&C, estarem incomplint.
  • En el cas de la recerca, si la llicència explicita que és per ús sense ànim de lucre és molt important assegurar-nos que la recerca es faci a la Universitat, a nom de la Universitat i supervisada per investigadors de la UB. Si no fos així podrien estar incomplint els T&C.
  • Si la recerca es fa per tercers o a nom de tercers, no podrem fer ús de la llicència sense ànim de lucre i haurem de contractar una llicència específica per aquesta activitat.
  • Si les llicències no diuen el contrari, els estudiants podran usar les llicències acadèmiques per tasques docents únicament en els equipaments de la UB. Si els estudiants s’instal·len en els seus equips particulars les llicències contractades per la UB sense l’autorització explícita del fabricant, estarem incomplint els T&C.

Reviseu on instal·leu les llicències

  • L’ús de les llicències sempre està restringit al personal i les instal·lacions de l’entitat que les adquireix. Si el contracte amb el fabricant no ho recull explícitament, només es poden utilitzar les llicències en equipaments que siguin propietat de l’entitat que les adquireix.
  • Els equips particulars del personal de la UB no es poden considerar com equipaments UB, encara que s’utilitzin per a tasques d’investigació o docents. Si instal·lem un programari contractat per la UB en equips particulars que no inclogui explícitament el seu ús estarem incomplint els T&C.
  • Els instituts de recerca propis de la UB són UB en termes de T&C i els apliquen els mateixos TC& que a la UB.
  • Els instituts de recerca participats per la UB, fundacions o altres organismes amb entitat jurídica pròpia no es poden considerar UB en termes de T&C. Si el contracte de llicències no ho recull explícitament, utilitzar llicències contractades per la UB en aquestes institucions implicaria un incompliment dels T&C.
  • És habitual que els grups de recerca a la UB siguin mixtes, i que hi participin investigadors de la UB i investigadors d’altres entitats que col·laboren amb la UB. En aquests casos, les llicències contractades per la UB només cobreixen els equipaments i investigadors de la UB. És important que ens assegurem que les entitats que col·laboren amb nosaltres tinguin contractades les seves llicències. Si cedim l’ús de les llicències de la UB sense l’autorització explícita del fabricant estarem incomplint els T&C.

Reviseu si les llicències són per ús particular o corporatiu

  • Alguns fabricants de llicències proporcionen llicències dels seus productes a preu reduït si l’usuari pertany al col·lectiu acadèmic per utilitzar-lo en els seus equips particulars. Aquestes llicències es poden contractar des de les  webs del fabricant o mitjançant botigues especialitzades amb mitjans de pagaments particulars.
  • Si els T&C de la llicència no diuen el contrari, només podem utilitzar aquesta llicència en els nostres equipaments particulars. Si instal·lem la llicència en un equip propietat de la UB incomplirem els T&C de la llicència.
  • Les llicències adquirides per a ús particular com a estudiant no es poden fer servir per a un PAS o PDI ni en els seus equips particulars ni en els equips corporatius. Les llicències d’estudiant són més econòmiques, però només les poden utilitzar els estudiants en els seus equips particulars. Fer el contrari comportaria un incompliment dels T&C.
  • Tot i que ja ho hem comentat, tampoc podrem usar les llicències corporatives en equips particulars si el contracte i els T&C no ho contemplen.

Reviseu les condicions de les llicències de prova o “demo”

  • Alguns fabricants donen la possibilitat d’instal·lar llicències de prova o “demo” en els equipaments corporatius. Aquestes llicències només es poden fer servir per avaluar el producte, si fem ús d’aquestes llicències per activitats acadèmiques o de recerca sense l’autorització explícita del fabricant estarem incomplint els T&C.

L’Àrea TIC informa sobre els T&C de les llicències contractades i/o gestionades a les nostres pàgines WEB. Estem a la vostra disposició per ajudar-vos a aclarir amb els fabricants els T&C i evitar els incompliments.

Llistes de distribució, la millor solució per enviar correu a grups nombrosos

Les llistes de distribució serveixen per enviar missatges de correu electrònic a un conjunt d’adreces

Són la millor alternativa quan volem enviar el mateix missatge a molts receptors.

En aquesta entrada contestem les preguntes més comunes sobre les llistes de distribució estàtiques (@llistes.info.ub.edu) que són aquelles que es generen sota petició i  la persona propietària gestiona l’alta i la baixa dels emissors i receptors.

  Per què i quan és millor enviar correu des d’una llista que des del meu compte?

Una llista de distribució estàtica permet enviar missatges en nom d’un servei o una unitat, grup d’investigació, un màster, un congrés … a un grup nombrós de subscriptors. Per defecte, els correus s’envien amb el nom de la llista i no amb el nom de la persona que envia.

També possibilita que diferents persones amb el rol de propietari puguin administrar els subscriptors de la llista: afegir i treure persones, entre altres accions.

Les llistes permeten l’enviament de correus massius, aquesta mateixa acció, si es fa des de comptes corporatius, siguin personals, funcionals o de càrrec pot patir restriccions en l’enviament en estar limitat el màxim de correus que es poden enviar diàriament per qüestions de seguretat.

 Quins rols hi ha en una llista de distribució?

En una llista de distribució hi ha 3 rols:

  • Propietari: normalment és la persona que sol·licita la creació de la llista. Entre altres funcions gestiona les altes i baixes de membres de la llista.
  • Emissor (també anomenat moderador): és la persona que pot enviar correus a una llista, és escollit pel propietari de la llista.
  • Subscriptor: és la persona que  rep els missatges enviats a la llista a  la qual s’està subscrit.
 Qui pot enviar correu a la llista?

La persona propietària defineix si la llista és:

  • Tancada (és l’opció més habitual): només les persones autoritzades (propietaris i emissors) poden enviar correus. Els missatges són de caràcter informatiu i no es poden contestar.
  • Oberta (no recomanada quan es tracta d’un grup nombrós): qualsevol subscriptor de la llista pot enviar i contestar missatges.
 Les llistes permeten afegir com a subscriptors persones de fora de la UB?

Sí. No hi ha cap restricció per afegir comptes no UB.

 Disposo d’un conjunt de comptes que vull incorporar a la llista, com ho faig?

L’alta dels subscriptors la fa la persona amb el rol de propietari. Es pot fer un a un però també existeix la possibilitat d’afegir d’un sol cop múltiples subscriptors (fins a 2.000 adreces).

 Existeix alguna limitació respecte a l’enviament de correus?

Sí. Els missatges que s’envien no poden superar els 20 MB de mida.

 Existeix la possibilitat de donar-se de baixa d’una llista?

Sí. En les llistes de distribució estàtica qualsevol subscriptor pot donar-se de baixa. L’opció més senzilla és fer-ho a través del peu del missatge que es rep des de la llista. Les persones administradores, però també poden eliminar als subscriptors que considerin.

Si una llista ha deixat de tenir utilitat, la persona propietària pot demanar la seva baixa. Consulta aquest enllaç per a més informació.

 Des d’on es gestiona una llista?

Per gestionar les llistes cal estar connectat a la xarxa UB i accedir a l’aplicació a través d’un entorn web. Una vegada identificats amb les nostres credencials UB accedirem només a aquelles llistes on tinguem algun permís.

 A la meva unitat li interessa treballar amb llistes de distribució, què haig de fer?

Les llistes de distribució estàtiques es generen sota petició a l’Àrea TIC. Per a la seva creació cal facilitar la següent informació: nom de la llista, breu descripció i persona responsable d’aquesta. Consulta aquest enllaç per a més informació.

 Necessito més informació sobre les llistes

Si et cal més informació sobre les llistes de distribució, consulta l’apartat Llistes de distribució. Et recomanem llegir les guies d’ajuda que tens a la teva disposició. Si tens qualsevol dubte, obre un tiquet de consulta al PAU.

10 consells sobre ciberseguretat a les teves mans

Malauradament cada dia són més freqüents les notícies sobre ciberdelinqüència. Els atacs informàtics afecten organitzacions de tot el món però també a nosaltres com  usuaris. En l’entrada d’avui et donem 10 consells bàsics i senzills però que et poden resultar de molta utilitat per evitar o minimitzar aquests atacs.

1 Assegura’t que la contrasenya del teu compte UB és única i exclusiva. Per accedir a altres webs o serveis fora de la Universitat,  tria una de ben diferent
2 Si encara no has emplenat el camp adreça de correu alternativa, fes-ho ara. Et serà de gran utilitat en cas d’oblit o robatori de la teva contrasenya UB. Consulta l’ajuda “Què és l’adreça alternativa?
3 Els  phishing i els atacs d’enginyeria social augmenten cada dia. Reflexiona uns segons abans de contestar un correu alarmant, descarregar algun adjunt o fer clic sobre enllaços sospitosos. A la secció d’avisos del nostre web publiquem els correus maliciosos que més impacte estan tenint a la Universitat
4 Alerta si reps alguna trucada d’un fals tècnic que parla en nom de Microsoft i demana connectar-se al teu equip per ajudar-te. No en facis cas i penja. Més informació sobre com funciona aquest engany
5 En els espais de la Universitat on pots compartir informació: OneDrive, Sharepoint, Teams o Servei de fitxers, revisa els permisos de compartició i actualitza qui pot accedir i com. Evita al màxim la compartició anònima. Si ets responsable d’algun compte de correu funcional, canvia la contrasenya de manera periòdica i revisa les delegacions
6 Els ciberdelinqüents s’aprofiten de la popularitat d’algunes apps per treure al mercat versions molt semblants,  però que poden contenir malware o codi maliciós, així que descarrega només de les botigues oficials, dona únicament els permisos imprescindibles i fixa’t bé en el nom de l’aplicació i del desenvolupador abans de fer el clic per descarregar. No guardis en el teu equip o pugis al teu espai OneDrive pel·lícules o programari “pirata” descarregat gratuïtament, moltes vegades són fitxers maliciosos que contenen virus, revisa l’extensió d’aquests fitxers.
7 Vigila amb les wifis públiques: connecta’t a aquestes només quan sigui imprescindible,  et recomanem que facis servir una VPN, naveguis en mode incògnit i no introdueixis dades sensibles com contrasenyes o números de targetes de crèdit
8 Fes una còpia de seguretat de la teva informació més valuosa: recorda seguir la regla 3-2-1 para un emmagatzematge segur: 3 còpies, en 2 suports diferents i en  1 en un lloc físic diferent. Com a membre de la comunitat UB disposes d’espai d’emmagatzematge al Núvol UB amb OneDrive, per a ús personal amb 1 TB d’espai disponible i pot ser una alternativa per guardar còpies de seguretat de la informació més rellevant, en aquest cas no tinguis activada la sincronització
9 No guardis mai les contrasenyes en el teu navegador, desconnecta la sessió quan hagis acabat i recorda sempre de tenir blocats tots els teus dispositius
10 Tingues el teu equip actualitzat amb els pegats de seguretat i amb un programa d’antivirus funcionant. Els equips propietat de la Universitat són gestionats de manera centralitzada, assegura’t que el teu equip de treball està inventariat i etiquetat correctament.
Si tens qualsevol dubte o incidència en el teu entorn laboral relacionada amb la ciberseguretat, contacta amb el PAU

Si és relativa al teu àmbit personal, tens a la teva disposició el telèfon gratuït d’Incibe 017

Recorda: si ets víctima d’un atac relacionat amb la ciberseguretat: robatori de credencials, suplantació d’identitat, extorsió… pots denunciar-ho a la policia.