Què és el Phishing?

L’11 de febrer se celebra el Dia d’Internet Segura, una iniciativa que va llançar la Unió Europea el 2004 per promoure la necessitat de tenir una xarxa més segura. L’ús progressiu d’Internet en cada vegada més àmbits de la nostra vida ha suposat un increment dels ciberatacs, i una de les fórmules més utilitzades pels ciberdelinqüents és el phishing. Saps què és i com pots reconèixer un intent de phishing?

Definició de phishing

El phishing és el terme informàtic que designa una tècnica de suplantació de la identitat amb la qual els delinqüents intenten aconseguir informació confidencial de manera fraudulenta. El terme deriva de la paraula anglesa fishing (pescar, pesca), perquè això és precisament el que intenten fer els estafadors: llancen un ham per intentar “pescar” les teves dades.

Claus d’accés a la banca en línia, dades de la targeta de crèdit, documents d’identitat ... són exemples de la informació sensible que et poden robar amb aquesta tècnica, amb la qual també poden arribar a infectar el teu ordinador o dispositiu mòbil amb algun tipus de programari maliciós.

El 2018 es van produir a tot el món uns 500 milions d’atacs de phishing, segons un informe de Kaspersky Lab, i el sector financer va ser el més afectat: més del 44% dels atacs es van dirigir contra bancs, sistemes de pagament i comerços en línia.

La forma més emprada per un intent de phishing és a través del correu electrònic, tot i que no és l’única: els delinqüents també intenten accedir a les teves dades a través de perfils falsos en xarxes socials, enviant SMS al nostre mòbil (pràctica que es coneix com smishing) o a través de trucades telefòniques.

Com reconèixer un intent de phishing

Els ciberdelinqüents perfeccionen les seves tècniques contínuament, i de vegades és difícil diferenciar un missatge electrònic fals de l’original, però hi ha pistes que et poden ajudar a reconèixer que estem sent víctimes d’un intent de phishing:

  • Nom del remitent. Si l’adreça del remitent del missatge electrònic és desconeguda, o té un format estrany, dubta que el missatge sigui autèntic, a l’igual que si no inclou el domini de l’entitat que suposadament t’ho envia o si ve d’un servei de correu gratuït com Gmail, Yahoo o Outlook.
  • Els arguments que fan servir. Els estafadors t’intentaran convèncer de la necessitat que els facilitis amb urgència les teves dades personals (o bancàries) al·ludint un suposat problema de caràcter tècnic, un canvi en la política de seguretat de l’entitat, un accés anòmal al teu compte o moviments sospitosos, la desactivació imminent del teu compte, la promoció d’un nou producte i, fins i tot, la comunicació d’un suposat premi o una falsa oferta de feina. El més habitual d’aquests missatges és que estiguin redactats en un to alarmista i que et demanin que actuïs de manera immediata, amb avisos que si no fas clic a l’enllaç o no envies les teves dades es cancel·larà el teu compte o hauràs de pagar una multa.
  • Diferències entre el text de l’enllaç i la URL a la qual apunta. Els estafadors intentaran que facis clic a l’enllaç inclòs en el missatge electrònic per portar-te a una pàgina web fraudulenta amb la qual intenten suplantar la veritable. Pots comprovar l’adreça d’aquest enllaç situant-hi el punter del ratolí a sobre: si veus que no coincideix amb el text de l’enllaç, que té un format sospitós o que no comença per https (la “s” garanteix que la web de destinació és una web segura), no hi facis clic.
  • Errors ortogràfics o mala redacció. Normalment, per dissenyar els missatges “esquer” els delinqüents fan servir eines automàtiques que integren funcionalitats de traducció, de manera que és probable que vegis paraules mal traduïdes, expressions que sonin rares en castellà, faltes d’ortografia, paraules amb símbols estranys, etc.
  • Un missatge no personalitzat. Si la salutació és un genèric del tipus “Benvolgut client/usuari” o “Estimat amic”, desconfia.
  • Les extensions dels documents adjunts. Sospita que estàs davant d’un phishing si el missatge que reps et demana que baixis un fitxer que té més d’una extensió (similar a “nombredefichero.doc.zip” o és un arxiu comprimit (tipus .zip) o executable (.exe)). No el baixis, ja que és possible que es tracti d’un programa maliciós que infecti el teu equip, o si ho fas, passa l’antivirus abans d’obrir-lo i executar-lo.

Què has de fer si creus que has rebut un missatge electrònic fraudulent

Si has rebut un missatge electrònic amb alguna de les característiques que hem descrit abans, la recomanació és:

  • No facis cas de la petició d’informació que se sol·licita en el missatge ni responguis el missatge ni facis clic als enllaços.
  • Si hi ha algun fitxer adjunt, no l’obris ni el baixis.
  • Elimina el missatge electrònic sospitós.
  • Passa l’antivirus al mòbil o l’ordinador.

Si tens dubtes sobre l’autenticitat d’un missatge electrònic, posa’t en contacte amb l’entitat que suposadament t’està enviant la comunicació per comprovar que veritablement han estat ells els que t’han escrit.

De tota manera, recorda que les comunicacions de Banco Santander són sempre personalitzades (amb el teu nom i cognoms), que el banc no et demanarà les dades ni les contrasenyes ni per correu electrònic ni per telèfon, ni tampoc t’enviarà arxius adjunts ni inclourà enllaços a la pàgina d’inici de la banca en línia. Si vols accedir als serveis de la teva banca electrònica, és millor que escriguis directament l’adreça al teu navegador.

Què has de fer si has estat víctima d’un atac de phishing

En cas que hagis caigut en un engany tipus phishing, el consell és que recopilis tota la informació relacionada: el missatge rebut, la pàgina web a la qual aquest enllaci, la documentació que hagis enviat, etc., i que presentis una denúncia a la policia. Així mateix, et pots posar en contacte amb l’Oficina de Seguretat de l’Internauta de l’INCIBE (Institut Nacional de Seguretat) i informar del frau per evitar que altres usuaris també el pateixin.

Si es tracta d’un phishing bancari, posa’t en contacte amb el teu banc per informar-lo del que ha passat i que pugui prendre les mesures de seguretat corresponents. Per la teva banda, canvia immediatament les claus dels serveis afectats (el teu accés a la banca en línia, les contrasenyes de les teves targetes de crèdit, etc.) i revisa periòdicament els teus comptes per si detectes algun moviment sospitós.

Si el que has facilitat és un altre tipus d’informació personal, dirigeix-te a l’entitat que correspongui per informar-los que has estat víctima d’un atac de phishing i t’indiquin com has d’actuar.

Has de tenir en compte que si arran del phishing el teu ordinador s’ha vist infectat per algun virus o programa maliciós, hauràs de desinfectar l’equip amb un antivirus. Si necessites ajuda addicional, pots rebre suport a través d’INCIBE-CERT, el Centre de Resposta a Incidents de Seguretat de referència per als ciutadans i les entitats de dret privat a Espanya, operat per l’Institut Nacional de Ciberseguretat.

Els atacs de phishing són una pràctica habitual i no podem impedir que ens arribin missatges fraudulents a la bústia d’entrada del nostre correu electrònic. No obstant això, estant alerta i seguint aquests consells podràs evitar caure en els paranys dels ciberdelinqüents.

Et pot interessar

×
${loading}
×