Phishing: evita estafes a Internet

Què és el phishing?

Cada any es multiplica el nombre d’atacs diaris de pesca de credencials (phishing), amb la qual cosa s’ha convertit en una de les estafes més comunes d’Internet. Les persones que duen a terme aquesta estafa obtenen informació confidencial, com ara contrasenyes bancàries o informació de targetes de crèdit, però com ho fan?

El phishing és un intent de suplantació d’identitat: els ciberdelinqüents es fan passar per una empresa, institució o servei conegut i amb bona reputació per enganyar-te i aconseguir robar les teves dades privades, credencials d’accés o dades bancàries. Aquesta pràctica fraudulenta es basa en l’enginyeria social, és a dir, el seu èxit rau en la confiança que tens a l’empresa o institució que s’està suplantat. Per això, moltes d’aquestes comunicacions fan servir la identitat dels serveis financers o bancaris.

Així mateix, de vegades, el phishing també s’usa per infectar els dispositius amb algun tipus de malware (programa maliciós).

Com és el procés de robatori de dades amb phishing?

El procés es resumeix en el següent:

1.  El ciberdelinqüent selecciona la marca que suplantarà.
2. A continuació, després de determinar quina informació vol obtenir de l’usuari, selecciona el mitjà a través del qual difondrà el seu missatge fals.
3. Crea un missatge que acostuma a ser alarmista i provoca una reacció en l’usuari, normalment fer clic en un enllaç que es facilita o baixar i executar un fitxer adjunt.
4. Després, redirigeix a l’usuari víctima a una pàgina web falsa, que és pràcticament igual o molt semblant a la legítima del servei suplantat.
5. L’usuari, pensant que es troba en el lloc oficial, acabarà emplenant els diferents formularis que se li facilitin a la web maliciosa.
6. Finalment, les dades capturades s’emmagatzemaran en algun servidor remot controlat pels ciberdelinqüents i, posteriorment, es faran servir per dur a terme accions fraudulentes: suplantar la identitat d’algú, cometre altres delictes en nom seu, segrestar comptes d’usuari, robar diners, enviar spam, etc.

Com puc evitar ser víctima del phishing?

El missatge electrònic és el mitjà més utilitzat pels ciberdelinqüents per atacar amb les tècniques del phishing. Aquestes són algunes de les mesures que pots prendre per evitar el phishing i les estafes per Internet:

1. Esbrina sempre qui t’envia els missatges electrònics
   Si no en coneixes el remitent o el domini no coincideix amb l’empresa o el servei que diu que és, pots estar davant d’un cas de phishing. Per exemple, si reps un missatge en nom del Santander, i el domini del missatge electrònic no inclou el nom del banc, és sospitós. De la mateixa manera que també ho és si el missatge que t’arriba utilitza un servei de correu gratuït com Gmail, Outlook, Yahoo!, etc.
2. Desconfia d’assumptes alarmistes
   L’assumpte sol ser molt cridaner o sol·licitar alguna acció de manera urgent. Alguns exemples que et poden ajudar: “Té un missatge nou de seguretat”, “S’han detectat moviments sospitosos”, “Eliminació de comptes inactius”, "Heu rebut una notificació”, “Tens un paquet esperant”, etc.
3. Fixa’t en la redacció i l’ortografia
   Els missatges de phishing solen tenir frases mal construïdes o sense sentit, paraules amb símbols o caràcters estranys, faltes d’ortografia, etc. Un servei amb bona reputació s’ha d’assegurar que tant l’estructura i el disseny del missatge com el seu contingut siguin correctes, ja que la imatge que es transmet als usuaris és un aspecte molt important per a qualsevol servei que s’apreciï. Però alerta, que els ciberdelinqüents també van millorant les seves pràctiques, així que si et trobes un missatge sospitós amb una redacció perfecta, assegura’t que has verificat la resta de pistes abans de donar-lo per bo.
4. Cerca signes de personalització
   Un missatge de phishing està poc o gens personalitzat. Comunicacions anònimes del tipus “Benvolgut client”, “Notificació a usuari” o “Estimat amic” són indicis que t’han de posar alerta. Si un delinqüent vol estafar centenars de milers de persones, és molt complicat que pugui saber el nom de totes. Per això fan servir fórmules genèriques com les esmentades.
5. Desconfia quan sol·licitin les teves dades personals o bancàries
   Tant si són trucades com missatges electrònics que sol·licitin la teva signatura electrònica completa, no és comú sol·licitar dades a través d’aquestes vies pel risc que impliquen els fraus i les estafes.
   En el nostre cas, amb l’aplicació de la normativa d’autenticació reforçada del client (SCA —strong customer authentication) per a comerç electrònic, de vegades t’enviarem al telèfon mòbil un missatge/notificació amb un enllaç que et dirigirà a la pàgina d’identificació del banc. Allà et demanarem la clau d’accés que fas servir per accedir a la teva Banca en línia o el PIN de la targeta, si no tens contracte de Banca Digital. Descobreix aquí més informació sobre aquesta normativa.
6. Abans de fer clic, fixa’t en l’adreça de l’enllaç
   La intenció dels delinqüents és que cliquis en un enllaç per portar-te a un lloc web fraudulent en lloc de portar-te a la pàgina legítima. Per tant, és important que comprovis que l’enllaç és fiable. Per a això, pots situar el punter del ratolí a sobre del botó o de l’enllaç i observar l’adreça que es mostra a la part inferior esquerra del navegador o del teu client de correu. Si el que veus és sospitós, no hi facis clic!
7. No baixis fitxers sense fixar-te en l’extensió
   Si el missatge que reps et convida a baixar un fitxer que, curiosament, té més d’una extensió, alguna cosa semblant a “nomdelfitxer.doc.zip”, o es tracta d’un fitxer comprimit (.zip) o d’un executable (.exe ), no se t’acudeixi baixar-lo o el més probable és que els teus dispositius acabin infectats. En qualsevol cas, si confies en la font i optes per la descàrrega de l’arxiu, analitza’l sempre amb un antivirus abans d’obrir-lo i executar-lo.