movi-image-eleconomista-phshing-smishing-vishing-1
Envia'ns suggerències
Transformació digital
5 min del teu temps

Què són el 'phishing', el 'smishing' i el 'vishing' i com detectar-los?

10/11/2020

El 93 % de les bretxes de seguretat comencen a partir d'un correu electrònic

En un moment en què l'ús de la tecnologia s'ha multiplicat a conseqüència de la situació derivada de la pandèmia del coronavirus, els casos de ciberatacs s'han disparat entre els usuaris i les empreses. I és que amb les mesures d'aïllament social i de limitació de moviments, que han impulsat noves formes de relacionar-nos i de treballar, milions de persones utilitzen més el correu electrònic i les xarxes socials i aposten pel canal online per realitzar les seves compres. De fet, les restriccions imposades han impulsat la digitalització dels comerços i han fet augmentar l'exposició i els riscos de ciberatacs.

Pot interessar-te: Nous canals de venda a l'era post-COVID-19

"L'enginyeria social es basa en un principi molt bàsic: 'l'usuari és l’anella més feble'. A partir d'aquesta idea, busca explotar-lo apel·lant a les seves motivacions més personals, amb l'objectiu d'aconseguir que l'usuari reveli certa informació o li permeti prendre el control del seu equip. La millor defensa és no deixar-se enganyar i conèixer com funciona aquest tipus de fraus i enganys", assenyalen des de l'Oficina de Seguretat de l'Internauta (OSI).

De fet, ha augmentat el nombre de campanyes fraudulentes que utilitzen el tema de la COVID-19 com a esquer, per exemple, suplantant el Ministeri de Salut xinès o l'Organització Mundial de la Salut (OMS). L'Organització de les Nacions Unides (ONU) ja va advertir al mes de maig que els ciberdelictes, entre ells els que es produeixen a través de correus maliciosos, havien augmentat un 600 % amb la pandèmia. A més, la velocitat a la qual moltes empreses han hagut d'implantar el teletreball com a model, ha fet que molts empleats accedeixin a informació empresarial des dels seus equips personals, que solen estar menys protegits que els corporatius.

Pot interessar-te: La ciberseguretat, la tasca pendent de les empreses en l'era del teletreball


Els atacs més habituals

El phishing és un dels atacs més habituals. Es tracta de l'enviament d'e-mails fraudulents amb aparença de fonts de confiança (com ara bancs o companyies d'energia) i que tenen per objectiu robar informació confidencial. Normalment en aquests missatges se sol·liciten dades com ara els números de la targeta de crèdit, el DNI o la contrasenya d'accés a l'entitat.

Només en el segon trimestre de l'any, segons les dades d'ESET, hi va haver un augment exponencial dels missatges electrònics de phishing, dirigits a compradors online, que es feien (i es fan) passar per un dels principals serveis de paqueteria del món. En aquest sentit, el volum va ser deu vegades més gran que en el primer trimestre de l'any. Precisament, el webinar Prevenció del frau contra les empreses en el negoci online i les transferències internacionals, organitzat per HUB Empresa de Banc Sabadell, abordarà aquest tema sobre com minimitzar el risc.

A més, segons iMorosity, del 72,78 % dels nous casos a les llistes de morosos, el 40 % correspon a estafes relacionades amb el coronavirus, de les quals el 20 % s'han fet mitjançant phishing. Com indiquen des de l'OSI, el 93 % de les bretxes de seguretat comencen a partir d'un missatge de correu electrònic.

Una de les variants d'aquest mètode és la coneguda com smishing, paraula composta per SMS (serveis de missatges curts) i phishing. El funcionament i l'objectiu són els mateixos que en l'enviament de correus electrònics, amb la diferència que es realitza a través de missatges de text, molt utilitzats en els smartphones.

Des de Kaspersky assenyalen que "quan la gent utilitza el telèfon mostra menys recel a protegir la seva privacitat. Molts assumeixen que els seus smartphones són més segurs que els ordinadors, però la protecció dels smartphones té limitacions i no pot blindar directament davant d'aquest frau".

Un altre mètode d'engany és el vishing. Aquest terme prové de la unió de voice i phishing. Per dur a terme aquesta pràctica, els ciberdelinqüents fan una trucada telefònica amb l'objectiu d'aconseguir les dades personals o bancàries d'una persona suplantant la identitat d'un tercer.

Des del Banc d'Espanya expliquen que entre les pràctiques més habituals hi ha la del frau del tècnic informàtic: "Amb el pretext de netejar l'ordinador de virus, exigeixen el pagament d'una petita quantitat a través d'una plataforma que registra les dades bancàries, i seguidament sol·liciten prendre el control del dispositiu infectat per accedir a la banca electrònica i realitzar operacions en nom de la persona afectada".

Un altre exemple és el de l'empleat d'una entitat bancària: avisen que s'està fent una operació fraudulenta (i fictícia) amb la targeta i sol·liciten les dades d'aquesta. Mentre es produeix la trucada, realitzen compres en línia reals i demanen les claus rebudes per SMS fent creure que són codis per cancel·lar l'operació falsa.

Un altre cas és el de fer-se passar pel comercial d'una companyia telefònica, informar la víctima que li han cobrat massa per error en la factura i sol·licitar-li les dades bancàries per abonar la diferència.

Pot interessar-te: El frau 'online' creix amb el coronavirus: claus per detectar-lo amb Intel·ligència Artificial i aprenentatge automàtic


Com evitar el frau

Per no caure presa d'aquesta mena d'atacs els experts recomanen sentit comú. Com recorda el Banc d'Espanya, "les companyies legítimes ja disposen de la informació personal, no necessiten demanar-la de nou". Per tant, cal desconfiar de qualsevol missatge electrònic, de text o trucada personal que sol·liciti aquest tipus de dades. Així mateix, cal considerar "les alertes de seguretat urgents i els canvis de cupons, ofertes o oportunitats que requereixen que actuïs ràpidament, com a signes d'advertència d'un intent de pirateig", apunten des de Kaspersky.

Per la seva banda, l'OSI assenyala que "cada vegada és més complicat reconèixer els atacs d'enginyeria social, per això el primer mètode de prevenció és estar informat". Segons les dades de l'Eurobaròmetre, només el 46 % dels ciutadans europeus es considera ben informat, mentre que en el cas dels espanyols aquest percentatge disminueix i se situa en el 35 %. Pel que fa a mesures de seguretat implantades, només el 45 % de la ciutadania europea opta per instal·lar un antivirus o millorar el que ja tenia. També és preocupant que només el 35 % dels usuaris obren únicament aquells correus electrònics procedents de persones o adreces que coneixen.

En el cas concret del phishing, des de Panda Security realitzen una sèrie de recomanacions com ara saber identificar els correus sospitosos. "Hi ha alguns aspectes que, inequívocament, identifiquen aquest tipus d'atacs: utilitzen noms i adopten la imatge d'empreses reals; porten com a remitent el nom de l'empresa o el d'un empleat real d'aquesta; inclouen webs que visualment són iguals que les d’empreses reals, i, com a ganxo, utilitzen regals o la pèrdua del mateix compte existent". No obstant això, poden contenir errates i, si es comprova l'adreça d'enviament, normalment són diferents de les originals i tenen dominis sospitosos.

Altres consells a seguir són verificar la font d'informació dels correus entrants; no accedir mai al web clicant directament sobre enllaços inclosos als e-mails; introduir les dades confidencials únicament en pàgines web segures; revisar periòdicament els comptes bancaris; i, davant el mínim dubte, ser prudent i no córrer riscos.

Per a l'smishing, les precaucions són similars a les anteriors: no fer clic a enllaços que es reben al telèfon, llevat que es conegui la persona que els envia; no instal·lar aplicacions provinents de missatges de text; i no revelar mai informació personal ni financera. Aquest últim és un consell coincident per a un atac de vishing.

Pot interessar-te: Com protegir-te de la ciberdelinqüència, un delicte que s'ha incrementat amb el teletreball

En cas de ser víctima d'un ciberatac, l'OSI aconsella reportar el problema al servei o l'empresa implicada. "Per norma general, totes ofereixen seccions d'ajuda i suport a través de les quals poder denunciar situacions que posen en risc la seguretat i la privacitat". Així mateix, es pot comptar amb l'Oficina Municipal d'Informació al Consumidor (OMIC), un servei que informa, ajuda i orienta els consumidors. Entre les seves funcions hi ha la tramitació, mitjançant procediments de conciliació, de les reclamacions que els consumidors els fan arribar derivades de problemes amb la compra de productes o la contractació de serveis. Si el problema no es pot solucionar portant a terme els passos anteriors, cal presentar una denúncia davant les Forces i Cossos de Seguretat de l'Estat (FFCCSE).

Espanya, un país atractiu per als ciberdelictes

Espanya compta amb un risc moderat pel que fa a atacs cibernètics, tal com recull l'índex de risc cibernètic (CRI, per les seves sigles en anglès) de NordVPN, que prediu el risc de ser víctima d'aquesta classe de delictes en funció del país de residència amb un valor del 0 a l'1. Com més alt és l'índex, més gran és el perill. En aquest sentit, Espanya obté una puntuació de 0,484, que situen el país en el lloc 25 d'un total de cinquanta països.

La posició intermèdia d'Espanya es deu a una exposició força significativa a diferents ciberamenaces. D'aquesta manera, el CRI mostra que el 86 % de la població espanyola utilitza Internet i vuit de cada deu espanyols viuen en ciutats i utilitzen smartphones. A més d'això, la penetració del comerç electrònic i les xarxes socials com ara Facebook i Instagram és, de mitjana, més gran a Espanya que en altres països, de manera que augmenta el risc davant d'aquests atacs. Aquests són els factors que fan que els espanyols siguin objectius potencials per als ciberdelinqüents.

L'informe assenyala que factors com els ingressos elevats, una infraestructura tecnològica avançada, la urbanització i la digitalització comporten un nivell més alt de delictes cibernètics. Per això, el nord d'Europa, que compta amb un salari mensual mitjà més elevat i una penetració d'Internet de més del 90 %, és la zona més perillosa per navegar per Internet, igual que l'Amèrica de Nord. Per tant, els nivells baixos de digitalització i d'ingressos són condicions poc atractives per als delictes cibernètics.

Fotogafia de Petter Lagson a Unsplash
-Categories i etiquetes-
up