Segons l’últim balanç de criminalitat del Ministeri de l’Interior, durant el primer semestre de l’any s’han registrat uns 40.000 cibercrims a Catalunya. Les darreres setmanes, els mitjans locals no paren de parlar del risc de la suplantació d’identitat. Els titulars cridaners sobre els casos d’Alcarràs i Lleida, que han afectat ajuntaments, empreses i persones com tu i com jo, han contribuït a generar una situació d’alarma social pel que fa a la seguretat i les amenaces digitals.
Fa quinze dies, vaig començar una sèrie de càpsules centrades en les diferents tècniques que utilitzen els ciberdelinqüents. Si llavors vaig parlant-te de la pesca per veu, avui et proposo aprofundir en tres tàctiques comunes més: el phishing, l’smishing i whatsapping.

Phishing

La pesca de credencials és una de les tècniques de ciberdelinqüència més habituals. L’atacant es fa passar per algú de confiança per manipular-te, ensarronar-te i fer-te fer accions perjudicials, com compartir informació confidencial, descarregar programari maliciós al teu dispositiu o clicar sobre un enllaç  que, aparentment, menen a la pàgina web de l’entitat que se suplanta, però que en realitat porta a pàgines fraudulentes.

Per realitzar l’engany, l’atacant envia correus electrònics fraudulents, utilitzant estratègies d’enginyeria social. D’aquesta manera, treu profit dels instints socials i les emocions de les víctimes (per exemple la voluntat d’ajudar els altres, la vanitat, la baixa autoestima, les pors, l’avarícia o la necessitat de reconeixement...). Els correus solen incloure consignes urgents, com una alerta sobre la seguretat d’un compte, una factura pendent o una oferta irresistible. Aquesta sensació d’urgència o amenaça fa que les víctimes es precipitin a actuar, clicant en enllaços maliciosos o proporcionant informació confidencial. D’aquesta manera, els ciberdelinqüents poden robar les credencials de qui pica l’ham i cau a la trampa.

Smishing

Les estafes per SMS són una variant de pesca electrònica, i són un dels fraus més freqüents a través del telèfon intel·ligent.

Aquest SMS es modifica mitjançant aplicacions o tècniques (canviant el número de telèfon mòbil original que va enviar l’SMS per un altre, afegint el nom de l’entitat al remitent de l’SMS, etc.) perquè sembli provenir d’una font legítima (per exemple una entitat bancària, una operadora de telefonia o una empresa de missatgeria) i que l’aplicació del telèfon l’afegeixi al fil de missatges legítims que has rebut anteriorment.

Dins del text del missatge, inclou un enllaç a una pàgina web falsa maliciosa. També és freqüent que inclogui indicacions per trucar a un número de telèfon on se li demanarà les credencials personals o bancàries (noms d’usuari i contrasenya, codis d’accés o dades de la targeta).

Whatsapping

Aquest terme genèric, que encara no té correspondència en català, s’utilitza per a descriure l’intent d’estafar-nos a través de WhatsApp fent-se passar per una altra persona o entitat.

A mesura que WhatsApp s’ha fet més popular, hem anat acostumant-nos a rebre missatges de persones que no són a la nostra llista de contactes, fet que facilita que els estafadors intentin enganyar-nos utilitzant diverses tàctiques. Algunes de les estafes més habituals són les d’un conegut en problemes que et demana diners, les ofertes falses, les suposades multes, els paquets pendents de recollir o altres pagaments falsos que has de pagar urgentment.

També poden sol·licitar codis d’un sol ús (OTP) d’accés a serveis i plataformes digitals o el codi de verificació de WhatsApp.

En aquest darrer cas, els estafadors intenten aprofitar la funció de WhatsApp que permet associar un compte a fins a quatre dispositius diferents, per robar la identitat de l’usuari legítim. Per fer-ho, instal·len l’aplicació en un dispositiu nou i el vinculen al número de telèfon de la víctima. A través de tècniques d’enginyeria social, intenten obtenir el codi de verificació que WhatsApp envia per SMS. En el cas que aconsegueixen accedir al compte, els estafadors es fan passar per familiars o amics de la víctima i sol·liciten diners a través de serveis com Bizum.

Com protegir-se d’aquests atacs

Desconfia i verifica per una via alternativa: Els estafadors poden robar comptes de WhatsApp o de correu electrònic per utilitzar-los per establir contacte amb els contactes de la víctima i demanar-los diners amb qualsevol excusa.  Si és algú fingint ser un familiar teu, truca-li per telèfon per confirmar-ho, parla-hi en persona o amb una altra persona que pugui corroborar la informació. Si és algú fingint ser una entitat o servei, truca al número d’atenció al client oficial per confirmar la informació del missatge, abans de donar-hi credibilitat.

Mai donis els teus codis ni les contrasenyes: Cap plataforma i entitat legítima te les demanarà per correu, SMS o missatgeria instantània. Per això, para atenció en com actua i quina informació et demana. Si sospites de que es tracta d’un frau, bloqueja el número o l’adreça de correu, contacta directament amb l’entitat i informa a la plataforma que es tracta d’un cas de pesca de credencials.

No paguis rescats: Si perds o et segresten els teus comptes, pots provar de recuperar el teu compte contactant el servei d’assistència de la plataforma o servei del qual has perdut l’accés.

Analitza els enllaços i els arxius que reps abans obrir-los: Utilitza serveis gratuïts com VirusTotal que permet analitzar fitxers i adreces URL per detectar codi maliciós, virus, troians, i altres tipus de ciberamenaces.

Mantén actualitzades les aplicacions a la seva última versió, atès que procuren esmenar les vulnerabilitats detectades i que aprofiten les atacants.

En conclusió

Tècniques com el phishing, smishing i whatsapping exploten la confiança de les víctimes i la manca de precaució en l’ús de plataformes digitals, amb l’objectiu de robar informació personal, diners o accés a comptes.

Per tant, la millor forma de defensa davant d’aquestes amenaces és la prevenció i la prudència. Cuida’t i, com ens recorda Copilot, fes servir la tecnologia amb cap.

La quinzena vinent, continuarà! xerpejant.cat