“El ‘phishing’ està present durant tots els dies de l’any, però si que augmenta considerablement depenent de l’època en la que entrem”, explica un agent del grup de delictes tecnològics de la policia. I, és que quan s’apropen grans campanyes com podria ser la del Black Friday, quan s’ha de fer la declaració de la renda o el Prime Day d’Amazon, els ciberdelinqüents aprofiten aquest moment i intensifiquen els intents fent centenars de pàgines web falses i enviant molts correus fent-se passar per entitats o anunciant grans ofertes per veure si aconsegueixen enganyar a algú. Una de les grans problemàtiques és que la gent confia molt i donen les dades personals molt a la lleugera: “Amb una cosa tan simple com enviar una foto del passaport per WhatsApp, en el cas que el teu telèfon mòbil o el de rebedor del missatge sigui vulnerat, els delinqüents tenen accés a aquestes dades, i tenint en número del passaport es poden fer moltes coses com crear un compte bancari en línia”.
Recordem que el ‘phishing’ és una tècnica utilitzada pels ciberdelinqüents per enganyar a les persones i obtenir les seves dades privades, com poden ser les contrasenyes, números de targetes de crèdit i altres dades personals. Els atacants es fan passar per entitats legítimes a través de correus electrònics, missatges de text, trucades i fins i tot pàgines web falses amb l’objectiu d’enganyar a la víctima i fer que, voluntàriament, li proporcioni la informació sol·licitada pensant-se que és un lloc legítim.
MODALITATS DE ‘PHISHING’
La primera modalitat i la més habitual, és el ‘phishing’ a través del correu electrònic. En aquest cas, els delinqüents envien correus fent-se passar per entitats i solen incloure un enllaç a un portal web fals o bé a arxius maliciosos. “Un exemple podria ser que reps un correu que et diu que un paquet d’Amazon ja està en entrega i t’adjunten l’enllaç per veure el recorregut. Només en clicar, ja tenen totes les teves dades”, apunta l’agent. En moltes ocasions també et demanen que posis la teva targeta de crèdit. És per aquest motiu, que és molt important sempre fixar-se en els URL i en el remitent del correu i sobretot desconfiar de missatges sospitosos o d’enllaços adjunts.
Una altra de les més comunes és el smishing, és a dir el ‘phishing’ a través d’SMS. “Acostumen a arribar dient que s’ha detectat un accés poc comú al teu correu electrònic o al teu compte bancari i t’adjunten un link per conèixer els detalls o evitar que et robin”, explica l’agent. En rebre aquest missatge, que en moltes ocasions sembla real, les persones fan el clic i el troben en pàgines web que simulen ser una entitat que no ho és.
L’agent detalla que els delinqüents que fan aquesta mena de ‘phishing’ a través de la web, en moltes ocasions utilitzen anuncis publicitaris en motors de cerca com pot ser Google o través de les xarxes socials, de tal manera que quan un client vol entrar en alguna pàgina i la busca al cercador, la primera a aparèixer és la pàgina web falsa. Com la víctima confia que és un lloc segur perquè ja ha visitat l’enllaç en múltiples ocasions, entra sense fixar-se.
Normalment, aquests intents d’estafa no tenen un destinatari fix, sinó que “és una cosa genèrica per intentar arribar el màxim de la població”, explica l’agent, però també existeix un tipus de ‘phishing’ conegut com l’estafa del CEO, que consisteix en un atac dirigit a una persona en concret i on els ciberdelinqüents personalitzen el missatge basant-se en la informació que han recollit prèviament. A través del que una persona penja a les xarxes socials els atacants poden saber que, per exemple, la persona està de viatge: “Escriuen a la família dient que necessita que li faci un Bizum perquè ha perdut l’avió i diuen que escriu des del telèfon de l’amiga perquè no té cobertura o bateria. I, que fa un pare quan la seva filla l’escriu demanant ajuda, ho fa”.
Finalment, hi ha el que es coneix com a ‘spoofing telefònic’, que és quan els atacants manipulen l’identificador de trucades perquè sembli que prové d’un lloc de confiança com podria ser una entitat bancària. “En contestar tu veus que la persona parla en català i quan mires al telèfon veus que el número és conegut. Realment no ho és”. L’especialista en delictes tecnològics recomana que el que s’ha de fer en aquestes ocasions és mantenir la calma i dir que ara tornaràs a trucar i després contactar directament amb el banc per veure si era veritat o un intent d’estafa.
Així doncs, l’agent del grup de delictes tecnològics recorda que per evitar el phishing cal, en primer lloc, sempre verificar la font i l’autenticitat dels correus, missatges, trucades i pàgines web abans de proporcionar cap mena d’informació i no confiar plenament en identificadors de trucada; no fer clic en enllaços sospitosos, sobretot si no n’esperaves cap; no compartir informació personal com el passaport o contrasenyes via text o telèfon; utilitza autenticació de múltiples factors; mantenir els programes i els sistemes operatius actualitzats; desconfiar de les ofertes i anuncis publicitaris; i finalment, assegurar-se que els coneguts estan al corrent dels perills del ‘phishing’ i com evitar caure en aquestes trampes: “Cal anar agafant aquests hàbits, perquè, tot i que sempre pot acabar passant alguna cosa, si segueixes aquestes recomanacions minimitzes la possibilitat que intentin estafar-te”, manifesta el policia. En el cas de caure en una estafa de ‘phishing’, l’agent explica que el primer que cal fer és no perdre els nervis i intentar mantenir la calma, ja que s’han trobat en situacions en què la gent entra en pànic i esborra tota la conversa, eliminant així tota la traça del delicte que hi havia.
CONSELLS ESSENCIALS DE CIBERSEGURETAT
D’altra banda, per mantenir protegides les teves dades, des de la policia també recomanen utilitzar contrasenyes segures que incloguin símbols, números i lletres, majúscules i minúscules i que siguin diferents per cada xarxa social. És essencial ús d’antivirus, no només en l’ordinador, sinó en tots els dispositius electrònics i també utilitzar una VPN, especialment quan et connectes a xarxes Wi-Fi públiques. També cal utilitzar un compte d’usuari sense permisos administratius per a l’ús diari de l’ordinador, sobretot si s’utilitza per finalitats personals o laborals.
L’agent explica que una de les coses que la gent no fa i és important, és modificar la contrasenya predeterminada del router, per evitar accessos no autoritzats, ja que els ciberdelinqüents busquen vulnerabilitats en els dispositius, i a través del model i la marca, si l’usuari no ha canviat la contrasenya és molt fàcil entrar-hi.
Un altre factor és anar fent neteja dels dispositius i esborrar tant aplicacions que ja no s’utilitzen, així com les converses, ja que en el cas que algun dia hi hagi una vulneració de l’aparell tecnològic els atacants tindran una còpia d’informació privada i de dades personals. “Avui en dia amb una foto del passaport es pot obrir un compte bancari online, es pot invertir en criptomoneda... és important vigilar a qui li donem les dades i anar fent higiene d’aquestes converses”, destaca l’agent.
Finalment, el més important és mantenir-se en l’alerta de les últimes amenaces i els consells de seguretat que donen tant des del cos de policia, com les de l’Agència Nacional de Ciberseguretat o d’Andorra Telecom, que van publicant totes les alertes sobre noves estafes.