Nous termes en estudi al Consell Supervisor (09/06/2021)

imatge al·legòrica

Aquest dimecres, 9 de juny, es torna a reunir el Consell Supervisor. En aquesta sessió s’estudiaran termes nous de l’àmbit de la ciberseguretat. Són casos procedents d’un grup de termes amb què s’ampliarà pròximament el diccionari en línia Terminologia de la ciberseguretat.

A banda, en aquesta reunió també es revisaran les decisions preses en l’última reunió, del 17 de maig, sobre termes de l’àmbit del periodisme i les ciències de la terra.

Els termes nous que es preveu estudiar en aquesta reunió són, concretament, els següents:

antimalware
Programari que pot contrarestar o prevenir l'efecte de qualsevol tipus de codi no desitjat o maliciós.
Nota: L’antimalware pot actuar davant de l'acció de troians, cucs, programari de publicitat, programari espia, etc.

bug bounty
Acord en virtut del qual un lloc web, una organització o un desenvolupador es compromet a compensar i reconèixer els investigadors que detectin errors en els seus programes i eines, especialment errors relacionats amb problemes de vulnerabilitat.

credential stuffing
Atac de força bruta en què l’accés al sistema es fa mitjançant la inserció automatitzada en massa de dades credencials obtingudes d'una manera fraudulenta.
[Un atac de força bruta és un atac d'autenticació en què s’intenta accedir a un sistema provant totes les combinacions possibles de credencials, fins que es troba la que en desbloqueja l’accés.]

dark pattern
Conjunt de tècniques utilitzades en el disseny de la interfície d'usuari d'un web legítim que tenen com a objectiu manipular l'usuari i induir-lo a fer-hi accions que no faria lliurement.
Nota: Sovint, aquests patrons estan orientats a fer que un usuari compri alguna cosa o se subscrigui a serveis que no vol. Un *dark pattern utilitzat freqüentment és, per exemple, un disseny web senzill que facilita l’entrada de l’usuari a determinats apartats però li dificulta de sortir-ne

data broker
Persona física o jurídica que, de manera lícita o il·lícita, recopila dades personals d'usuaris que després ven a empreses amb l'objectiu de lucrar-se econòmicament.

domain spoofing
Atac que consisteix a fer ús d’un nom de domini fraudulent, que n’imita un d’autèntic, sigui en una adreça electrònica o en un URL, a fi d’enganyar la víctima i poder-hi entrar en contacte i interactuar-hi.
Nota: En la pesca es recorre sovint al *domain spoofing, amb l’objectiu de fer versemblants els correus electrònics i els lloc web utilitzats

fleeceware app
Aplicació mòbil en què s’oculten intencionadament el cost i les condicions de subscripció, amb l’objectiu de poder cobrar els serveis sense el coneixement de l’usuari, sovint després d’un període de prova gratuïta.
Nota: Amb les *aplicacions fleeceware els serveis es continuen cobrant fins que no es cancel·la la subscripció, malgrat que l’usuari hagi eliminat l’aplicació del dispositiu.

meow attack
Atac consistent a eliminar bases de dades exposades públicament que no compleixen uns requisits de seguretat òptims.
Nota: L’*atac meow afecta especialment les bases de dades en els formats ElasticSearch i MongoDB. Es desconeixen les motivacions reals d’aquest tipus d’atacs, que finalitzen un cop eliminades permanentment les bases de dades afectades, sense que hi hagi cap demanda dels atacants.

metamorphic malware
Programari maliciós que pot canviar d’estructura interna i reescriure's cada vegada que es replica, fet que li permet eludir els sistemes de protecció

polymorphic malware
Programari maliciós que pot automodificar-se parcialment, mantenint el nucli i les funcions bàsiques, cada vegada que es replica, fet que li permet eludir els sistemes de protecció.

mule
Persona que, de manera conscient o inconscient, actua d'intermediària en la comissió d'un ciberdelicte, generalment transferint els diners obtinguts de la víctima al delinqüent o a un altre intermediari.

scam
Delicte consistent a guanyar-se la confiança d'algú utilitzant tècniques d'enginyeria social, generalment a través de la missatgeria electrònica, a fi d'estafar-lo econòmicament.
[L’enginyeria social és un conjunt de tècniques basades en la manipulació psicològica i emocional que s'utilitzen per a aconseguir que usuaris autoritzats de la xarxa infringeixin els protocols de seguretat habituals i revelin informació confidencial, pròpia o aliena.]

BEC scam
Estafa en què se suplanta el correu electrònic d'un professional d’una organització, generalment un alt càrrec, a fi d’aconseguir que un empleat, un proveïdor o una altra persona relacionada amb l’organització efectuï transferències econòmiques a favor de l’atacant.

love scam
Estafa en què l’atacant es guanya la confiança de la víctima simulant tenir-hi un interès amorós, generalment fent ús d’un perfil fals creat en una plataforma de contactes.

Nigerian scam
Estafa en què es tempta la víctima amb la possibilitat d’obtenir una fortuna i se la persuadeix perquè pagui per endavant una quantitat de diners com a condició per a accedir-hi
Nota: 1. En aquest tipus d’estafa és freqüent, per exemple, la promesa d’una herència a la víctima, que és convençuda perquè enviï diners a l’atacant com a pagament de suposats honoraris o impostos.
2. La referència a Nigèria en la denominació prové del fet que molts casos d’aquest tipus de ciberestafa tenen l’origen en aquest país africà.

shallow fake
Tècnica de manipulació audiovisual que, mitjançant eines d’edició de vídeo convencionals, permet crear muntatges de vídeo molt realistes que contenen situacions fictícies, sovint amb l'objectiu de desinformar o difamar.
Nota: En el *shallow fake, a diferència del que es fa en l’hipertrucatge, no s’utilitzen algoritmes d’intel·ligència artificial. Malgrat tot, la qualitat dels muntatges obtinguts és també molt alta.

synthetic identity theft
Robatori d'identitat en què les dades personals que s'utilitzen per a cometre el frau són una combinació de dades reals i de dades falses.
Nota: La informació real utilitzada en aquest frau (per exemple, el DNI o una fotografia) sol ser robada, i es combina amb informació falsa (per exemple, el nom, l’adreça o la data de naixement). Aquesta combinació d’informació es pot utilitzar, per exemple, per a obrir comptes o per a fer compres fraudulentes. El delicte sovint passa desapercebut, pel fet que no existeix una víctima clarament identificable.

trojan dropper
Troià que força la instal·lació de programari maliciós en un sistema d'informació sense ser detectat i sense el consentiment de l'usuari.

wardriving
Pràctica consistent a cercar senyals de xarxes wifi des d'un vehicle en moviment mitjançant un dispositiu portàtil.
Nota: 1. En el *wardriving s'utilitzen de vegades dispositius GPS per a georeferenciar la ubicació dels punts d'accés identificats i publicar-la en un lloc web (sovint a wigle.net).
2. Segons el vehicle des d’on es fa la cerca, també s’utilitzen, de vegades, les formes warbiking (si es fa des d’una moto) i warcycling (si es fa des d’una bicicleta). També s’utilitza la forma warwalking, si la cerca es fa a peu.
3. La denominació anglesa wardriving s’ha creat per similitud amb wardialing, un mètode utilitzat per un personatge de la pel·lícula WarGames (1983) consistent a marcar automàticament un seguit de números de telèfon amb l’objectiu de trobar-hi mòdems connectats. Alhora, és també una creació a partir de la forma wifi access research driving (‘conducció per a trobar accessos wifi’).

zoombombing / videoconference bombing
Acció d'entrar de manera deliberada en una videoconferència sense el consentiment de les persones que l'estan duent a terme, amb la finalitat d'inserir-hi contingut no desitjat.
Nota: 1. El *zoombombing és una pràctica relativament senzilla, que es pot dur a terme rastrejant a internet les URL de la videoconferència o recuperant-les de missatges compartits o publicats per error.
2. La forma zoombombing s’ha creat a partir del nom de la plataforma de videoconferències Zoom.

 

Si teniu interès a conèixer més detalls sobre algun d’aquests temes, o si sou experts en les matèries objecte d’estudi, i voleu fer-nos arribar la vostra opinió, poseu-vos en contacte amb nosaltres.

El Consell Supervisor és l’òrgan encarregat de la fixació de la terminologia en llengua catalana, integrat per membres designats per l’Institut d’Estudis Catalans i membres del TERMCAT.