El phishing és una de les tècniques més usades pels ciberdelinqüents per robar dades personals i bancàries. Amb l'ajuda de tècniques d'enginyera social, el ciberdelinqüent suplanta la identitat d'entitats, persones, marques o serveis coneguts per intentar enganyar les seves víctimes. L’objectiu final solen ser els diners i/o l'obtenció d'informació sensible, generalment introduïda per la víctima en una pàgina web falsa creada pel ciberdelinqüent o infectant l'equip mitjançant la descàrrega d'un programari maliciós.
Al llarg dels anys, els hackers han evolucionat i perfeccionat els seus mètodes d'engany, i creen correus de phishing cada vegada més sofisticats i difícils de detectar. Per aquest motiu, per no caure en la trampa, l'usuari ha d'aprendre a reconèixer els senyals que puguin delatar el ciberdelinqüent.
Quan rebem un nou correu, hem de formular-nos les preguntes següents:
1. El missatge és sospitós?
Per enganyar la seva víctima, el ciberdelinqüent pot crear correus que inspirin confiança o curiositat, suplantant la identitat d'una entitat bancària, d'una plataforma de vídeo en streaming o simplement escrivint un missatge atractiu que impulsi a clicar un enllaç o arxiu.
Encara que el remitent sigui aparentment conegut i/o el missatge molt temptador, no s'ha de confiar en correus inesperats o en respostes que no hem sol·licitat.
2. Qui envia el correu?
És imprescindible analitzar amb detall l'adreça de correu del remitent i no refiar-nos només del nom que ens mostra. Has de fixar-te sempre en el domini que utilitza: si el correu és d'una entitat o d'un servei, és molt probable que utilitzi els seus propis dominis per a les adreces electròniques corporatives. Si reps la comunicació des d'una bústia de correu genèrica tipus @gmail.com, @outlook.com, comença a sospitar.
Els ciberdelinqüents també poden crear dominis que a primera vista semblen reals, però en els quals, si ens hi fixem molt bé, podrem apreciar petites modificacions respecte del domini real. Per exemple: caixabank.com és real, però caixabanc.com no ho és. Per això és necessari confirmar que l'adreça de correu té el domini oficial de l'empresa i no deixar-se enganyar per petits canvis de vegades gairebé imperceptibles.
Tot i així, el domini del correu es pot arribar a suplantar totalment i els ciberdelinqüents poden enviar correus electrònics aparentment des de l'adreça legítima. Per aquest motiu, és important fixar-se bé en el contingut del correu, tal com s'indica en els punts següents.
3. És una petició urgent?
Crear sensació d'urgència és un recurs habitual entre els hackers. Missatges com “La seva contrasenya ha caducat. Té 24 h per modificar les seves claus d'accés...”, empenyen la víctima a prendre una decisió ràpida i precipitada.
A més de les presses, el concepte de la confidencialitat també és molt usat en aquest tipus d'estafes. Missatges com “Si us plau, no comentis això amb ningú més, és un assumpte secret i confidencial. Confio en tu...” volen dissuadir la víctima de fer les comprovacions de seguretat pertinents i no confirmar per tant la petició amb ningú més.
Per molta urgència o secretisme que transmeti el missatge, sempre es recomana contactar amb el remitent per un altre canal (per exemple, trucant als telèfons habituals) per verificar que el correu és realment legítim.
4. A qui va dirigit el correu?
Generalment, les campanyes de phishing són massives i s'adrecen a centenars de milers de persones a tot el món. Per tant, és habitual que no comptin amb les dades personals de les seves víctimes potencials i utilitzin termes genèrics com “amic”, “Estimat client” o “Bon dia”, sense utilitzar el nom de pila de cada individu.
Tanmateix, les tècniques dels pirates s'han anat perfeccionant i cada vegada són més nombrosos els casos de phishings dirigits i personalitzats a víctimes concretes de les quals el ciberdelinqüent ha obtingut prèviament informació. En són un exemple les estafes del frau al CEO i el frau factures.
Per aquest motiu, que el remitent conegui el nom de l'usuari no és una prova de la seva legitimitat.
5. L'enllaç és legítim?
Si el correu conté un enllaç, és necessari comprovar a on condueix abans de clicar-lo, ja que podria ser un enllaç trampa. Hem d'analitzar la seva adreça web, o URL, per veure si és coneguda. Com?
Passar el cursor per damunt de l'enllaç sense clicar-lo permet veure l'adreça web i comprovar si és coneguda o no. Aquesta apareix en una petita finestra emergent i als peus de la majoria dels navegadors d'internet. Si l'adreça a la qual dirigeix l'enllaç no correspon a la que apunta el contingut del missatge, podria ocultar un web maliciós.
És possible que alguns correus continguin enllaços més curts del normal que no revelen informació sobre la seva procedència. En aquests casos, és recomanable utilitzar serveis gratuïts com els de http://unshorten.it/. Copiant i enganxant l'enllaç escurçat en aquest web, es podrà saber l’adreça completa i conèixer on dirigeix realment l'enllaç.
6. Està ben escrit?
Que una entitat o companyia enviï una comunicació amb una redacció i ortografia descuidades és un senyal d'alarma que ens indica un possible correu fraudulent.
Les campanyes de phishing a vegades es fan des de l'estranger i estan destinades a atacar persones de diferents nacionalitats. Per tant, els ciberdelinqüents tradueixen els seus missatges a diversos idiomes, a vegades amb molts errors, a causa de l'ús de traductors automàtics.
Frases mal construïdes, traduccions massa literals, paraules amb símbols estranys o errades semàntiques són pistes que poden delatar els estafadors. Però també es registren nombrosos casos de correus phishing elaborats amb una escriptura perfecta. Qualsevol tipus de text, estigui ben escrit o no, és susceptible d'ocultar un intent de frau.
7. Si segueixo sense estar 100% segur...
És possible que, tot i que s'analitzin tots els elements del correu, encara no puguis assegurar al 100% la seva legitimitat. Els phishings són cada vegada més sofisticats i a vegades és molt difícil distingir-los d'un correu legítim.
En aquests casos, s'ha de confirmar l'autenticitat del remitent mitjançant un altre canal. És a dir, si es rep un correu sospitós d'una empresa i/o persona, és convenient posar-se en contacte amb aquesta per telèfon per verificar que la comunicació és real i legítima.
Estàs segur que és CaixaBank qui t'està contactant?
Malgrat que les empreses inverteixen cada dia més en noves i millors mesures de ciberseguretat, els usuaris hem d'aprendre a reconèixer les amenaces que aguaiten el món digital. Tots podem ser l'objectiu dels ciberdelinqüents, inclosos els usuaris de serveis bancaris.
Per exemple, com a usuari de CaixaBank Sign, pots rebre el correu o el missatge de text fraudulent d'un ciberdelinqüent, amb l'assumpte “té un problema amb la seva CaixaBank Sign”.
Si no analitzes correctament el correu seguint els passos de seguretat anteriors, corres el risc de clicar un enllaç fraudulent, i poder arribar a cedir així les teves claus d'accés al ciberdelinqüent.
En cas de dubte, abans de clicar qualsevol enllaç o fitxer annex, contacta amb el teu gestor de CaixaBank per assegurar que el correu és legítim.