Tercera i, per ara, darrera entrega de la col·lecció de càpsules TIC dedicades a les tècniques de suplantació d’identitat que utilitzen els ciberdelinqüents per perpetrar estafes digitals. 
En les càpsules anteriors vaig parlar-te d’algunes tècniques de pesca amb les que els ciberdelinqüents intenten enganyar-nos per obtenir informació valuosa, per veu i a través de missatges. Avui anirem més enllà, explorant tres tipus d’atacs s’aprofiten de la nostra confiança, la manca de precaució o la informació que compartim: el QRshing, el descaminament web (pharming) i el frau de duplicat de targeta SIM (SIM swapping).

QRshing

Amb l’augment de l’ús de codis QR en publicitat, pagaments, menús de restaurants, compartir una xarxa wifi i en molts altres serveis i continguts, els ciberdelinqüents han trobat una nova via d’estafa, aprofitant que són difícils de verificar a simple vista, ja que necessitem un dispositiu per llegir-los.

Sovint, aquests QRs maliciosos es col·loquen sobre els codis legítims mitjançant adhesius. Així, quan la víctima escaneja el codi és redirigida a una pàgina web o aplicació falsa que sol·licita informació confidencial, com les credencials d’accés a la suposada plataforma.

Com protegir-te’n?

1. Escaneja codis QR de fonts fiables i evita aquells que trobes en llocs públics o en anuncis enganxats a superfícies.

2. Utilitza aplicacions segures per llegir codis QR que ofereixen vista prèvia de l’adreça URL abans de redirigir-t’hi. Per exemple, la poderosa Google Lens, o l’alternativa de codi obert ZXScanner.

3. Revisa les opcions de seguretat del teu dispositiu i desactiva la instal·lació de fonts desconegudes, fora de la botiga d’aplicacions, i sense el teu permís explícit.

4. Desactiva la descàrrega automàtica de fitxers des dels navegadors web, per mantenir un major control sobre les baixades i evitar que aplicacions potencialment malicioses es descarreguin sense permís o de forma silenciosa.

Descaminament web

En aquest tipus d’atac, els ciberdelinqüents manipulen el sistema de resolució de noms de domini (DNS) per redirigir la víctima a llocs web fraudulents sense que se n’adonin. Això fa que, encara que s’introdueixi correctament l’adreça web, sigui redirigida a una pàgina falsa dissenyada per robar dades financeres o credencials de compte.

Com protegir-te’n?

1. Explora les opcions de privadesa i seguretat dels navegadors. Activa la funció Navegació segura, a Google Chrome i la de Protecció contra contingut enganyós i programari perillós, amb Mozilla Firefox, que t’adverteix i bloqueja l’accés a llocs web potencialment perillosos.

2. Instal·la extensions de seguretat als navegadors, que et proporcionin informació sobre la reputació dels llocs web i t’alertin dels que són sospitosos. Entre les més populars, destacar Malwarebytes Browser Guard o Avast Online Security & Privacy.

3. Mantén el sistema operatiu i els navegadors actualitzats, per aprofitar les millores de seguretat contra aquests atacs.

4. Evita fer clic en enllaços sospitosos. Procura introduir les adreces manualment o verifica-les amb l’eina virustotal.com

Frau de duplicat de SIM

Per posar en pràctica aquesta tècnica, l’atacant primer recopila informació personal de la víctima. Després contacta amb l’operadora per fer-se passar per la persona afectada i obtenir el control del número de telèfon de la víctima mitjançant el canvi de la targeta SIM. 

D’aquesta manera, el ciberdelinqüent pot rebre els codis d’autenticació de dos factors i accedir a comptes bancaris o de correu o perfils socials protegits per aquest sistema.

Com protegir-te’n?

1. Configura mètodes d’autenticació de dos factors alternatius a l’SMS, ja que aquests no depenen del número de telèfon.

2. Contacta amb la teva operadora per configurar mètodes de verificació per a sol·licituds de canvi de SIM.

3. Evita compartir informació personal a les xarxes socials, que els ciberdelinqüents podrien utilitzar per suplantar la teva identitat davant l’operadora.

El maneig responsable de la informació

Posa-t’ho al cap! La informació personal és poder, i en mans errònies, pot convertir-se en una eina molt perillosa i ser usada per perfeccionar tàctiques d’enginyeria social. Per això, el maneig responsable de la informació esdevé fonamental per protegir-te d’aquests atacs.

1. Organitza i protegeix el teu entorn digital. Utilitza contrasenyes fortes i úniques per a cada compte. Si et cal, emmagatzema-les en un gestor de contrasenyes segur per emmagatzemar-les, com KeePassXC, Bitwarden o Google Password Manager.

2. Revisa la privacitat dels teus perfils socials i fes que les teves publicacions només siguin visibles per a les persones que coneixes.

3. Activa l’autenticació de doble factor a tots els comptes importants per dificultar els accessos no desitjats, en cas que una contrasenya quedi compromesa.

4. Mantén el control de la informació que comparteixes i desconfia de les peticions sospitoses. Restringeix les dades que facilites a altres persones i empreses i analitza si realment és necessari compartir-les. 

5. Informa’t sobre com protegir la teva privadesa en línia i revisa les seves polítiques de privacitat de les aplicacions que descarregues i la configuració dels dispositius, per evitar exposar dades innecessàries.

Per anar acabant

Tots els atacs per suplantació d’identitat que hem explorat són tècniques que exploten l’ús que fem de la tecnologia i la nostra confiança en els dispositius i serveis digitals. La millor manera de prevenir aquests fraus és la conscienciació i l’adopció d’hàbits digitals més segurs.

Et proposo un repte: Posa a prova la teua capacitat de detectar els atacs de suplantació d’identitat amb aquest test pràctic que planteja diferents situacions que et pots trobar en el teu dia a dia digital phishingquiz.withgoogle.com

Confio que aquesta sèrie d’articles t’ajudi a protegir-te millor, a aprendre a detectar aquests llops digitals i, així, evitar caure en els seus paranys. Bona quinzena! xerpejant.cat