Què és el Phishing?
La presència d'Internet a les nostres vides és cada vegada més evident. Les aplicacions mòbils han traslladat molts tràmits del món físic al digital i això ha fet que sorgeixin nous mètodes per robar informació i diners: la ciberdelinqüència i el cibercrim.
Inicialment, els ciberdelinqüents i els cibercriminals feien servir programari maliciós per atacar grans empreses. No obstant això, aquest mètode era molt car. Per aquest motiu, han anat incorporant noves metodologies a les seves tècniques, que han evolucionat fins a convertir-se en el negoci il·lícit més lucratiu del món. Entre altres coses, s'han inspirat en tècniques d'engany del carrer per aconseguir que els usuaris proporcionin de manera voluntària la seva informació, les seves contrasenyes i, fins i tot, les seves dades bancàries.
Aquesta metodologia, que s'anomena enginyeria social, en l'actualitat es fa servir contra qualsevol usuari d'Internet i d'aplicacions de serveis, a més de contra una gran varietat d'empleats de qualsevol empresa. Per dur a terme els atacs, els ciberdelinqüents fan servir una gran varietat de canals: correu electrònic, SMS, trucades telefòniques, xarxes socials…
Pel que fa a l'enginyeria social, la tècnica que es fa servir més és el phishing, que consisteix en l'enviament de correus fraudulents que utilitzen diferents pretextos per enganyar els usuaris.
Definició de phishing
El terme phishing fa referència a un concepte informàtic que identifica una tècnica de suplantació de la identitat mitjançant la qual els ciberdelinqüents intenten aconseguir informació confidencial de manera fraudulenta. Aquest terme ve del mot anglès "fishing" (pesca, pescar), que és exactament el que intenten fer els estafadors: llançar un esquer per intentar "pescar" les teves dades i credencials.
Les claus d'accés de la banca en línia, les dades de la targeta de crèdit i els documents d'identitat, entre d'altres, són exemples de la informació confidencial que et poden robar amb aquesta tècnica, que també es pot fer servir per infectar el teu ordinador o dispositiu mòbil amb programari maliciós.
Segons els registres de l'informe Phishing Activity d'APWG, l'any 2021 es va assolir un màxim històric: en un sol mes es van fer servir 245.771 pàgines fraudulentes per dur a terme estafes de phishing. A més, aquestes activitats malicioses segueixen una tendència ascendent i contínua.
D'altra banda, segons l'informe Attack Landscape Q1 2021 de F-Secure, el sector més afectat és el financer: en total, al voltant del 40 % dels atacs fraudulents van anar dirigits contra bancs, sistemes de pagament i comerços en línia.
Tot i que el correu electrònic és el mitjà més utilitzat per dur a terme els intents de frau, no és l'únic: els delinqüents també intenten accedir a les teves dades mitjançant perfils falsos a les xarxes socials, mitjançant l'enviament de missatges SMS al telèfon mòbil (una pràctica que s'anomena smishing o pesca per SMS) o, fins i tot, mitjançant trucades telefòniques (Vishing). A més, els atacs sofisticats poden perpetrar suplantacions d'identitat que semblen reals gràcies a tècniques com l'spoofing o suplantació, que fins i tot permet canviar el nom que apareix en una trucada o aconseguir que un SMS s'insereixi al fil oficial de comunicacions d'un servei.
Com reconèixer un intent de phishing
Els ciberdelinqüents perfeccionen les seves tècniques contínuament, fins al punt que, de vegades, és difícil distingir un correu electrònic fals de l'original. No obstant això, hi ha pistes que poden ajudar-te a identificar que s'està produint un intent de phishing:
- Nom del remitent. Si l’adreça del remitent del missatge electrònic és desconeguda, o té un format estrany, dubta que el missatge sigui autèntic, a l’igual que si no inclou el domini de l’entitat que suposadament t’ho envia o si ve d’un servei de correu gratuït com Gmail, Yahoo o Outlook.
- La sensació d'urgència. Els estafadors t'intentaran convèncer que és necessari que els proporcionis les teves dades personals (o bancàries) de manera urgent, fent al·lusió a un pretès problema de caràcter tècnic, un canvi en la política de seguretat de l'entitat, un accés anòmal o moviments sospitosos al teu compte, la desactivació imminent del teu compte, la promoció d'un producte nou o, fins i tot, la comunicació d'un pretès premi o una oferta falsa de feina. El més habitual és que aquests missatges estiguin redactats amb un to alarmista i t'urgeixin a actuar immediatament.
- Diferències entre el text de l’enllaç i la URL a la qual apunta. Els estafadors intentaran que facis clic a l’enllaç inclòs en el missatge electrònic per portar-te a una pàgina web fraudulenta amb la qual intenten suplantar la veritable. Pots comprovar l’adreça d’aquest enllaç situant-hi el punter del ratolí a sobre: si veus que no coincideix amb el text de l’enllaç, que té un format sospitós o que no comença per https (la “s” garanteix que la web de destinació és una web segura), no hi facis clic.
- Faltes d'ortografia o redacció deficient. Normalment, per dissenyar els missatges "esquer", els delinqüents fan servir eines automàtiques que tenen integrades funcionalitats de traducció, de manera que (si es tracta d'una estafa poc elaborada), és probable que vegis paraules mal traduïdes, expressions que sonen estranyes en català, faltes d'ortografia, paraules amb símbols estranys, etc.
- Una salutació genèrica. Si la salutació no està personalitzada i té un format semblant a "Estimat client/usuari" o "Estimat amic", no hi confiïs. Normalment, els serveis dels quals ets client fan servir el teu nom complet per adreçar-se a tu.
- Fitxers adjunts. Si el correu que has rebut et demana que descarreguis un fitxer, sospita que es tracta d'un cas de phishing. Qualsevol fitxer, fins i tot els documents Word o els fitxers PDF, pot incloure programari maliciós. No obstant això, els fitxers més sospitosos són aquells que tenen més d'una extensió (de l'estil "nomdelfitxer.doc.zip"), un fitxer comprimit (com ara .zip) o un fitxer executable (.exe). No descarreguis fitxers adjunts de correus que no t'esperes, ja que és probable que es tracti d'un programari maliciós que podria infectar el teu equip. Si ho fas, passa l'antivirus abans d'obrir-lo i executar-lo.
Què has de fer si creus que has rebut un missatge electrònic fraudulent
Si has rebut un correu electrònic amb alguna de les característiques descrites anteriorment, et recomanem el següent:
- No facis cas de la
sol·licitud d'informació del correu electrònic, no responguis al correu ni facis clic als enllaços.
- Si el correu que has rebut et fa dubtar, truca al contacte oficial del servei per comprovar-ne la veracitat o envia un correu electrònic a l'adreça oficial per als clients.
- Si s'inclou un fitxer adjunt, no l'obris ni el descarreguis.
- Suprimeix el correu electrònic sospitós.
- Passa l'antivirus al mòbil o l'ordinador.
- Si l'intent de phishing que has rebut suplanta el Banco Santander, informa'n per correu electrònic a phishing@gruposantander.es.
- Recorda que les comunicacions
de Banco Santander sempre estan personalitzades (amb
el teu nom i cognoms) i que el banc
no et demanarà les teves dades ni les contrasenyes per correu electrònic, per
SMS ni mitjançant trucades telefòniques. No t'enviarà fitxers adjunts ni inclourà enllaços a la pàgina d'inici de
la banca en línia. Sempre que vulguis accedir als serveis de la teva banca
electrònica, fes servir l'aplicació oficial o accedeix directament a l'adreça
amb el navegador.
Què has de fer si has estat víctima d’un atac de phishing
Si has estat víctima d'un engany de phishing, et recomanem que reuneixis tota la informació relacionada: el correu que has rebut, la pàgina web amb la qual s'enllaça, la documentació que hagis enviat, etc. i que presentis una denúncia a la policia. També et pots posar en contacte amb l'Oficina de Seguretat de l'Internauta de l'INCIBE (Institut Nacional de Seguretat) i informar del frau per evitar que també afecti altres usuaris.
Si es tracta d'un cas de phishing bancari, posa't en contacte amb el teu banc per informar-los d'allò que ha passat per tal que puguin prendre les mesures de seguretat oportunes. Per la teva banda, canvia immediatament les claus dels serveis afectats (les teves dades d'accés a la banca en línia, les contrasenyes de les targetes de crèdit, etc.) i revisa periòdicament els teus comptes per identificar possibles moviments sospitosos.
Si has proporcionat informació personal d'una altra mena, posa't en contacte amb l'entitat corresponent per informar-los que has estat víctima d'un atac de phishing i que et puguin indicar què has de fer.
Tingues en compte que, si el teu ordinador s'ha infectat amb un virus o programari maliciós a causa del phishing, hauràs de desinfectar-lo amb un antivirus. Si necessites més ajuda, la pots sol·licitar mitjançant INCIBE-CERT, el centre de resposta a incidents de seguretat de referència per als ciutadans i les entitats de dret privat a Espanya que dirigeix l'Institut Nacional de Ciberseguretat.
Els atacs de phishing són una pràctica habitual i no podem evitar que arribin missatges fraudulents a la safata d'entrada del nostre correu electrònic. No obstant això, si et mantens alerta i segueixes aquests consells, podràs evitar caure als paranys dels ciberdelinqüents.
Et pot interessar
Mantén les teves contrasenyes segures
Mantén les teves contrasenyes segures
Protegeix la teva informació i el teu equip
Protegeix la teva informació i el teu equip
App Santander: el teu banc obert les 24 hores