Que no et pesquin!

És habitual que en els mesos que van de juny a setembre augmentin els casos de ‘phishing’



Phishing

Pràctica exercida a través d’Internet que consisteix a suplantar la identitat electrònica d’una organització determinada amb l’objectiu de convèncer algú perquè reveli informació confidencial que, posteriorment, serà utilitzada amb finalitats fraudulentes.



És un frau digital molt estès; fa uns anys aquest tipus de comunicacions es rebien a través de correu electrònic, però més endavant també s’ha estès als SMS i a APPs de missatgeria (aquests porten el nom d’smishing). La comunicació en qüestió es fa passar per exemple per una companyia elèctrica o una entitat bancària, i en el cos del missatge hi ha un enllaç que envia l’usuari a una pàgina web fraudulenta amb l’estètica de l’empresa suplantada; probablement s’hi troba un qüestionari, on aquells que “piquen” hi introdueixen les dades personals (habitualment usuaris i contrasenyes), o fins i tot pot ser que es demanin dades bancàries per fer d’immediat un pagament.



Alguns tipus de phishing

Spear phishing va dirigit a una persona específica, de la que probablement s’ha obtingut informació a través de les seves xarxes socials.

Clone phishing es tracta d’una còpia exacta d’un correu electrònic legítim, però que remet l’usuari a enllaços alterats o adjunta fitxers maliciosos.

Els perills de l’estiu

A l’estiu hi ha la percepció que les campanyes de phishing poden tenir més recorregut,  i, per tant, hem d’estar més alerta. El motiu és clar: és una època en què s’incrementa de manera considerable la compra de determinats productes i serveis a través de la xarxa. Parlem de tot allò relacionat amb l’oci i les vacances. En el que portem d’estiu, des d’Internet Segura no hem identificat noves situacions de phishing, però ara fa un any hi van haver diverses campanyes estivals, algunes de temàtiques genèriques, però d’altres d’específiques sobre vacances (com lloguers d’apartaments o vehicles) o esdeveniments (per exemple, festivals musicals) d’aquesta època.

Però encara hi ha una altra qüestió que té a veure amb l’època estival: és quan més ens connectem a la xarxa fora del lloc “habitual” (que acostuma a ser a casa o a la feina). Fer-ho a través de wifi gratuïta, ja sigui en un aeroport, hotel o restaurant, no és gaire bona idea: és fàcil que les nostres dades personals quedin exposades i, en el cas que ens ocupa, podem ser víctimes de pharming, un mètode semblant al phishing, però en aquest cas allò que fa el ciberdelinqüent és redirigir el trànsit d’un lloc web a un altre de fraudulent amb idèntica imatge.

Si no us queda altre remei que connectar-vos a través d’una wifi gratuïta, eviteu en el decurs d’aquestes sessions fer accions com compres online. Un altre perill relacionat amb l’estiu és que, com que probablement estem més a l’aire lliure o fora de casa, fem servir més el mòbil per connectar-nos, i en els dispositius mòbils és més difícil visualitzar tota l’adreça URL on som o on ens adreça un enllaç, i per tant comprovar si es tracta d’un lloc legítim.   

Temàtiques més habituals

Mireu-vos dues vegades el missatge rebut si la temàtica és alguna de les que segueixen. Són les més habituals a l’estiu a l’hora d’intentar enganyar el personal.

  • Promocions, descomptes i sorteigs (paquets de vacances, tiquets a esdeveniments esportius o musicals… )
  • Pagaments incorrectes al teu favor.
  • Enviaments de paqueteria.
  • Verificacions de comptes de correu o falsos avisos de robatoris de contrasenya.




Dos exemples reals de phishing.


Recomanacions

Com podem evitar que, a través del phishing, obtinguin dades personals o diners?

  • Un consell important és no utilitzar mai els enllaços i URLs d’aquests correus. Fem servir sempre la URL coneguda per accedir als serveis que s’utilitzen sovint, ja sigui a través dels enllaços desats al navegador, de les URLs guardades en un gestor de contrasenyes o introduint-les manualment de memòria.
  • Desconfieu de qualsevol promoció o premi que us arribi a través d’un missatge, i més encara si no heu participat en cap sorteig relacionat amb allò que us ofereixen. Les empreses no es dediquen a anar fent regals ni donant premis. Esborreu el missatge, i llestos!
  • No obriu arxius adjunts de correus sospitosos!
  • És habitual que aquests missatges fraudulents convidin a una acció immediata (per exemple, demanen clicar un enllaç de seguida per obtenir un premi, o que si no s’introdueixen unes dades personals abans de 24 hores es perdrà aquella gran oferta). En cap cas no us deixeu portar per frases alarmants ni per la urgència.
  • Si el missatge rebut coincideix en nom i aparença amb el d’una empresa amb la que teniu serveis contractats (per exemple, el vostre banc o la vostra companyia de subministrament elèctric), poseu-vos en contacte amb ells a través dels canals que ho feu habitualment.
  • En una connexió insegura, per evitar el pharming, quan hagueu d’introduir dades personals, presteu atenció que la URL contingui el forrellat HTTPS i que té un certificat d’autenticitat clicant al damunt.


Poseu-vos a prova!


Practiqueu si sou capaços de detectar-ne a través d’aquest exercici de Google.

Si, malgrat tot, hem picat l’ham, es pot presentar denúncia als Mossos d’Esquadra i assessorar-se legalment per emprendre accions en funció del perjudici ocasionat. Una acció immediata és canviar les contrasenyes dels nostres comptes online i, si sospitem que ens han extret o ens poden extreure diners d’un compte o targeta, posar-nos d’immediat en contacte amb l’entitat bancària.

Per a més informació, consulteu els nostres hàbits cibersaludables.



Ho comparteixes?