Phishing: què és? Aneu amb compte amb els missatges i correus electrònics falsos!

Probablement abans havíeu sentit a parlar de phishing. Gairebé constantment, empreses, punts de comunicació i altres organitzacions intenten advertir-ne. Però, què és exactament el phishing? Aquest article us explicarà tot sobre aquesta forma de ciberdelinqüència. Parlarem de què es tracta, de com reconèixer-ho i de com us podeu protegir. També us mostrarem què fer si sou víctimes d’un intent de pesca.


Què és Phishing?

Phishing Fishhook amb contrasenya

La pesca no és una mena de ciberdelinqüència que té víctimes sense saber-ho que donen accés a criminals a la seva informació personal o al seu compte enrere. Normalment, això passa a causa de l’enviament d’un correu electrònic de phishing a la víctima. Sembla que aquest correu electrònic prové d’una organització o empresa oficial, però en realitat va ser enviat per un delinqüent. Aquests delinqüents faran qualsevol cosa perquè els seus correus electrònics semblin el més autèntics possibles. Per exemple, utilitzaran logotips de llocs web i empreses oficials. En aquests correus electrònics, se sol demanar a les víctimes que facin clic en un enllaç o que obrin un fitxer adjunt.

Si feu clic en un enllaç d’un correu electrònic de pesca, podríeu trobar-vos en una pàgina que sembla un lloc web oficial, però només és una còpia falsa. El criminal espera que introduïu les vostres dades personals i la informació confidencial en aquesta pàgina, per exemple, emplenant una pantalla d’inici de sessió. Un cop fet això, el criminal tindrà accés a aquesta informació. L’obertura d’un fitxer adjunt en un correu de phishing també pot causar molts problemes. Pot ser que, sense saber-ho, instal·leu programari maliciós, com un virus o programari espia, al vostre ordinador. Al seu torn, això pot provocar que el criminal obtingui tota mena d’informació personal sobre vostès, com ara les dades bancàries. De vegades, fins i tot instal·len bots per crear una Botnet i dur a terme atacs de DDOS.

L’objectiu eventual d’un criminal de suplantació és beneficiar-se de robar-li diners o dades personals. D’aquí prové el nom “phishing”. Els ciberdelinqüents “pesquen” per obtenir la vostra informació: llancen la seva canya de pesca digital (el correu electrònic) i esperen fins que mossegui una víctima. Utilitzen les pors i emocions del destinatari per fer funcionar la seva estafa. Poden, per exemple, fingir que t’esperen un pagament no pagat, dient-li que correrà el risc d’una multa si no paga de seguida. Les víctimes solen entrar en pànic quan llegeixen això i fan el que se’ls va demanar, caient pels trucs del criminal. No us sentireu estúpid si us ha passat això. Pot ser increïblement difícil distingir un missatge fals de l’acord real.

Diferents tipus de pesca

Generalment, el correu electrònic és un mitjà molt eficaç per als delinqüents, ja que els permet arribar a milers de persones d’una sola vegada. Passant el mínim de temps possible, podran robar molts diners, sempre que una part petita dels destinataris caigui per estafa. Tanmateix, no acaba amb els correus electrònics. A continuació, es mostren algunes altres formes de pesca que heu de vigilar, tant si es tracta d’estafes a les xarxes socials com a través del correu tradicional..

Estafes de SMS i WhatsApp

Logotip de WhatsappEls ciberdelinqüents continuen pensant en noves maneres de robar diners a les seves víctimes. Pot ser que aquestes tècniques siguin més efectives i lucratives, perquè la gent simplement no ho sap encara. És possible que un text del banc no sempre sigui digne de la vostra confiança. El mateix passa amb un missatge de WhatsApp d’una organització oficial que li demana que pagueu una factura de la qual no recordeu res. Durant els darrers anys, WhatsApp s’ha utilitzat especialment en les estafes de pesca.

Heu rebut un missatge sospitós? Pot ser molt difícil saber si efectivament s’ha de pagar una factura o simplement és un intent de robar-li els diners. El millor és contactar amb l’organització que suposadament ha enviat el missatge. Vés al seu lloc web oficial consultant en línia la informació de contacte adequada, sense fer clic en cap enllaç del missatge ni utilitzar informació. Els delinqüents de suplantació de trucs solen ser prou intel·ligents com per canviar la informació de contacte de l’empresa per una altra. Si l’empresa no sap res del missatge, assegureu-vos que sàpiga que algú envia missatges de phishing al seu nom.

Factures falses

Els ciberdelinqüents no només utilitzen les xarxes socials, sinó també formes de comunicació més tradicionals. Una de les estafes més habituals, especialment per a aquells que tenen el seu propi negoci, són les factures falses. Els estafadors envien una factura d’aspecte fals, però real, que li diu que pagueu ràpidament o que en pateixin les conseqüències. Sovint se’ns diu que enviï els diners a un compte enrere específic. De vegades, fins i tot diuen que estàs en deute i enviaran un cobrador de deutes si no transferiu els diners ràpidament. Tot i que és possible rebre una carta d’aquestes institucions oficials (en circumstàncies extremes), també podria ser un cas de caça de pesca. Això vol dir que, generalment, les amenaces són falses. Si transfereu els diners, acabarà a les butxaques dels estafadors.

Si voleu comprovar si una factura o un recordatori de pagament és legítim, truqueu a l’empresa que l’ha enviat. De nou, però, no utilitzeu la informació de contacte que apareix a la factura. Aneu sempre al lloc web oficial de l’empresa que es mostra a la factura i truqueu-los o envieu-los per correu electrònic. Sol·liciteu confirmació de la factura, la quantitat de diners esmentada i el compte al qual s’hauran de transferir abans de pagar res.

Correus electrònics o missatges de xarxes socials d’amics o familiars

Si un criminal ha obtingut accés al correu electrònic o al compte de mitjans de comunicació social de la víctima (per exemple, mitjançant un atac anterior de phishing, per exemple), podria utilitzar-ho per trobar noves víctimes. Un criminal pot intentar que altres persones li enviessin diners enviant missatges als amics del compte piratejat. Sovint, aquests missatges començaran amb un simple “Hola, com estàs?”. Un cop la gent reaccioni, el criminal demanarà diners. Aquí teniu un exemple d’un missatge de phishing, en què el compte de John ha estat piratat i el cibercriminal s’acosta al seu amic Matthew a través de Facebook:

Missatge de phishing de Facebook

Quan sentiu que un amic té problemes, és probable que desitgeu ajudar-los. Els ciberdelinqüents fan un ús indegut d’aquesta tendència creant una sensació d’urgència: John es troba a l’estranger i ha de tornar a casa el més aviat possible. Si Matthew decideix ajudar-lo, transferirà diners sense saber-ho a un compte bancari que no és de Joan, però sí a un cibercriminal. El criminal pot demanar que es transferisca diners mitjançant PayPal, Western Union, Moneygram o Bitcoin. En alguns casos, els delinqüents faran l’esforç de representar tota la xarxa d’amics del compte piratejat i, fins i tot, de llegir missatges passats. Utilitzaran aquesta informació perquè el seu intent de phishing sembli el més convincent possible.

Ha rebut un missatge d’un amic via correu electrònic, Facebook o una altra plataforma de xarxes socials demanant diners? Ves amb compte. Poseu-vos en contacte amb la persona amb la qual penseu parlar, per exemple, trucant-los. D’aquesta manera, podeu comprovar si realment tenen problemes. Si no, el seu compte ha estat piratejat.

“Phishing” per telèfon

Smartphone amb imatge d’orella

De vegades es produeix phishing per telèfon. Això pot ocórrer quan els delinqüents ja tinguin accés al compte bancari de la víctima, però també necessiten informació. Si la víctima coopera, de forma inconscient, transferirà diners als delinqüents. Això podria succeir de la següent manera:

  1. El criminal es connecta a l’entorn bancari de la víctima i comença a transferir diners al seu propi compte.
  2. El criminal crida a la víctima, fingint ser un empleat del banc, i demana el codi TAN que ha rebut la víctima (per exemple, a través del text).
  3. Si la víctima comunica el codi (que en realitat s’ha enviat per verificar un pagament), el penal l’utilitza per completar la transacció al seu propi compte bancari..

Els delinqüents de phishing també podrien fingir ser un empleat de Windows o el fabricant del vostre ordinador o telèfon intel·ligent. Reclamaran que truquen per resoldre un problema tècnic. En lloc d’això, us fan registrar-vos en un lloc web perillós, donant-los accés al vostre ordinador i informació personal. En alguns casos, fins i tot instal·laran ransomware al vostre dispositiu. Això vol dir que tots els vostres fitxers seran xifrats i presos com a ostatges: no podreu accedir-hi a no ser que pagueu. Si heu estat víctima del ransomware, assegureu-vos de contactar amb la policia.

Darrerament hi ha hagut informes sobre un tipus diferent de phishing per telèfon. Un criminal us cridarà amb un número estrany, generalment estranger. Quan es recull, no se sent res. Només més endavant la factura del telèfon mostra que la trucada telefònica li ha costat molts diners. Per mantenir-te a la protecció d’aquest tipus d’estafa, no només has de rebre cap trucada.

Si alguna vegada us ha trucat un empleat d’un determinat banc o empresa, no doneu la vostra informació personal, com ara l’adreça o el número de compte bancari, de seguida. Assegureu-vos sempre que utilitzeu els números de telèfon oficials i correctes d’una empresa i comproveu si realment heu trucat amb un representant d’aquesta empresa.

Com reconèixer la pesca

Ha rebut un missatge de correu electrònic, text o un altre missatge d’una institució oficial o d’un amic que demana diners? Penseu dues vegades abans de fer res. Tant si es tracta d’un missatge del govern, d’una botiga web, de l’IRS, del vostre banc, d’una companyia d’assegurances o d’un lloc web com Amazon, pot ser que tracti amb un criminal. Un altre tipus de pesca no és el conegut missatge de correu electrònic enviat per un “príncep nigerià” o un parent llunyà que pretén tenir accés a una gran quantitat de diners. Abans que puguin enviar-vos res, però necessiten que els transferiu alguna cosa. No caureu en aquest tipus de trampes. No són reals.

Com que el phishing pot ser difícil de detectar, és important saber què cal buscar quan es verifica si un missatge és legítim o no. A continuació, es mostren uns quants consells que us ajudaran a reconèixer un intent de pesca.

Consell 1: errades de salut, d’idioma, d’ortografia i de gramàtica

Normalment, els correus electrònics de phishing s’envien a moltes persones alhora. Això vol dir que no sempre estan personalitzats. En canvi, acabes rebent un correu electrònic amb un estàndard “Benvolgut mr./mrs” o alguna cosa semblant a la part superior. Sempre tingui en compte si és estrany que el banc no s’hi adreci adequadament, per exemple, abans de fer qualsevol altra cosa amb el correu electrònic.

Normalment es pot dir que un correu electrònic és fals quan conté moltes faltes d’ortografia o gramàtica. Sovint, els ciberdelinqüents que envien el correu no són els millors en anglès i cometen errors evidents. Una altra tècnica que s’utilitza sovint en els missatges de phishing és crear una sensació d’urgència. Un llenguatge com ara “URGENT”, “IMPORTANT” o “AVIS FINAL” podria indicar que esteu relacionant amb un correu electrònic de phishing.

Tot i això, no sempre és així. Hi ha correus electrònics de phishing i llocs web que no contenen cap error i fins i tot comencen amb una mena de salut personalitzada. Per sort, hi ha altres coses que podeu buscar, tal com us ho explicarem als altres consells.

Consell 2: mira l’emissor del correu electrònic

Llista amb lupaSovint s’envien correus electrònics de phishing mitjançant adreces de correu electrònic fraudulentes. Mireu sempre l’adreça de correu electrònic de l’emissor i comproveu si és legítim. Per exemple, si sou clients del Bank of America, podeu rebre correus electrònics oficials de les adreces que acaben a @ bankofamerica.com. Com que els ciberdelinqüents no posseeixen aquest domini, no poden utilitzar aquestes adreces de correu electrònic. En canvi, intentaran enviar-lo des d’un domini molt similar o utilitzar un proveïdor de correu electrònic general. Podrien, per exemple, utilitzar [email protected] o alguna cosa que acabi a @ americanbank.com. Fins i tot els errors d’ortografia intencionats no són rars: en afegir una lletra o dues al domini original, els delinqüents intenten enganyar-se a pensar que el missatge és legítim després de tot. De vegades, les adreces de correu electrònic de phishing consisteixen en números i lletres aleatòries. Són fàcils de detectar i no s’han de confiar mai.

En alguns casos, sembla que un missatge de phishing té un remitent de confiança. De vegades fins i tot sembla que s’envia des de la vostra pròpia adreça de correu electrònic. S’anomena “spoofing per correu electrònic” i es produeix molt en el compromís de phishing i correu electrònic empresarial (BEC). No us endugueu. Si teniu dubtes, poseu-vos en contacte amb l’emissor sempre cercant la informació de contacte adequada al lloc web oficial. Si es tracta d’un correu electrònic des de la vostra pròpia adreça, simplement ignora’l.

Consell 3: no compartiu informació personal

Si rebeu un missatge de correu electrònic, un text o un altre missatge demanant dades personals, per exemple, les dades d’inici de sessió, pot ser que sigui un mal signe. No compartiu mai la informació personal o del compte per correu electrònic (o un altre suport textual) si no esteu segurs que sigui absolutament segur. Moltes empreses legítimes no sol·licitaran mai la vostra informació directament. Això és especialment cert quan es tracta de contrasenyes, codis TAN i altra informació específica del compte. Per molt que sembli real un correu electrònic o un missatge, mantingueu la informació privada. Si no sabeu si un missatge és real o no, poseu-vos en contacte amb l’organització realitzada a través del lloc web oficial o truqueu-los. No respongueu mai als missatges ombrívols i no feu clic als enllaços que no confieu.

Consell 4: vigileu els fitxers adjunts sospitosos

Un simple clic sobre un fitxer adjunt en un missatge de phishing ja podria instal·lar programari espia com a keyloggers i troians al dispositiu. Només obriu fitxers que confieu completament i que espereu que seran enviats. Estigueu alerta per trobar noms de fitxers i tipus de fitxers que semblin estar fora del comú. Arxius que finalitzen amb .cremallera o .exe no s’ha de confiar en el valor nominal. Fins i tot els fitxers PDF no sempre són segurs. A continuació trobareu una visió general de les extensions de fitxers que es poden utilitzar als correus electrònics de phishing.

  • .ratpenat(Lot)
  • .com(fitxer de comandaments)
  • .cpl(Panell de control)
  • .docm(Microsoft Word amb macros)
  • .exe(Fitxer executable de Windows)
  • .gerro(Java)
  • .js(JavaScript)
  • .pif(Fitxer d’informació del programa)
  • .pptm(Microsoft PowerPoint amb macros)
  • .ps1(Windows PowerShell)
  • .scr(Fitxer de salvapantalles)
  • .vbs(Script de Visual Basic)
  • .wsf(Fitxer de script de Windows)
  • .xlsm(Microsoft Excel amb macros)
  • .cremallera (Comprimit)

Si voleu saber quin és el tipus de fitxer d’un determinat fitxer adjunt, simplement comproveu les lletres del nom del fitxer després de l’aturada completa.

Els ciberdelinqüents poden intentar enganyar-se afegint l’extensió del fitxer al nom del fitxer. Per exemple, potser intenten fer-vos creure que tracta un fitxer PDF trucant-lo a “InvoicePDF.exe”. En canvi, és un fitxer .exe que s’utilitza per instal·lar programari maliciós.

Consell 5: vigileu els enllaços sospitosos

Ordinador portàtil de ComputervirusHeu detectat un enllaç en un correu electrònic del qual no confieu? No hi feu clic. No tots els enllaços porten al lloc on diu que us dirigirà. Per sort, podeu comprovar-ho fàcilment passant el cursor sobre l’enllaç (sense fer-hi clic!) I comprovant l’angle inferior esquerre del navegador. Apareixerà una petita barra blanca amb el lloc web exacte a l’enllaç. És un lloc web en el qual no reconeixeu ni confieu? Aleshores, probablement haureu de fer front a un intent de pesca.

L’adreça podria fins i tot semblar un lloc web de confiança, però es pot deixar d’enganyar. Comproveu sempre si tot es deletxa de la manera correcta i el domini és correcte (per exemple bankofamerica.com/ info en lloc de bankofamerica.officialwebsite.com/ info) Teniu molta cura quan utilitzeu el telèfon intel·ligent o la tauleta, ja que és molt fàcil fer clic accidental sobre alguna cosa.

Consell 6: estigueu al pas

La tecnologia i el ciberdelinqüència evolucionen constantment. Continuen apareixent noves maneres de protegir-se contra el phishing i altres formes de delictes en línia, de la mateixa manera que les maneres noves perquè els delinqüents intentin enganyar les seves víctimes. Per això, és important tenir al dia les darreres novetats sobre phishing i tot allò relacionat. Si llegiu aquest article, ja esteu bé. Assegureu-vos de vigilar també a la nostra secció de notícies. Es poden haver advertiments sobre els intents de phishing internacional emesos per empreses o governs.

Consell 7: confieu en la vostra intuïció

Si no esteu exactament segurs de si podeu confiar en un missatge, correu electrònic o lloc web, no ho feu. És millor estar segur que ho sento. Poseu-vos en contacte amb l’organització real i pregunteu-los sobre ella. Si això no és possible, també podeu cercar l’adreça de correu electrònic de l’emissor en línia. Si es tracta d’un intent de phishing que s’ha fet servir des de fa un temps, probablement altres persones ja l’han tractat i podran dir-vos si és segur o no.

Com evitar el phishing

Hi ha moltes maneres de reconèixer un correu electrònic de phishing, però encara és millor si no els trobeu per començar. A continuació, es mostren un parell de trucs per ajudar-vos a deixar de practicar pesca.

  • Feu servir l’autenticació de dos factors als vostres comptes: si heu de passar dos passos per iniciar la sessió en comptes importants (per exemple, amb un codi de verificació), les possibilitats que els cibercriminals tinguin accés complet al vostre compte són molt més baixes..
  • Activa el filtre de correu brossa: el proveïdor de correu electrònic probablement tingui un parell de paràmetres de configuració que podeu utilitzar per evitar que el correu brossa sigui fora de la safata d’entrada. Pot ser que això no impedeixi que tots els correus electrònics de phishing us arribin, però us proporcionarà una capa de seguretat addicional, de manera que trobareu correus maliciosos amb menys freqüència. Assegureu-vos que s’han adreçat una adreça de correu electrònic important de la qual podreu rebre correus electrònics en una llista blanca, de manera que no s’acabaran accidentalment a la vostra carpeta de correu brossa.
  • Compartiu les dades només en llocs web segurs: la barra d’adreces us indicarà si la connexió entre vosaltres i el lloc web que visiteu és segura. Si ho és, veureu un petit bloqueig tancat a la part esquerra de l’URL, així com “https: //” (inclosos els “s”) a l’enllaç. Si us falta, no heu de compartir cap informació personal a la pàgina. Molts llocs web de phishing també han començat a utilitzar HTTPS, de manera que aquest xec petit no us podrà salvar de totes les estafes. Tot i així, és un inici important. Si voleu saber més sobre HTTPS, hem escrit un article complet sobre aquest tema.
  • Assegureu-vos de saber com podeu protegir-vos en línia: els nostres 8 senzills passos per anar en línia amb seguretat us ajudaran amb això.

Funcionar com a muleta de diners: criminalment per accident

Bossa de diners amb rètol de dòlar a l’ordinadorAlguns atacs de phishing són col·laboracions entre més d’un centenar de persones. La part més gran d’aquest grup està formada per les anomenades “mules de diners”. Aquestes persones (sovint estudiants) obren temporalment els seus comptes bancaris a diners de pesca. D’aquesta manera, els diners robats es poden enviar d’un compte a un compte de manera ràpida i senzilla, de manera que és molt més difícil per a les autoritats traçar els diners a la idea principal que hi ha darrere de l’operació. A mode de compensació, es permet que les mules de diners guardin un petit percentatge dels diners.

Les mules de diners solen ser reclutades per un “pastor”. Això passa en línia, amb les ofertes de treball que semblen legals, però no ho són o a la vida real. Un pastor podria anar als patis escolars i a altres llocs públics per preguntar-li a la gent si vol guanyar diners addicionals. Una gran quantitat de diners no saben que el que fan és il·legal. Són còmplices de la ciberdelinqüència sense saber-ho.

El risc de ser descobert per la policia és molt més gran per les mules de diners que per la persona que hi ha al darrere de l’atac. El camí dels diners robats passa per primer cop per tots els comptes de la mula de diners. Desanimem algú a participar en aquestes pràctiques. Si algú t’ofereix un lloc de treball que requereix que li doni accés al seu compte bancari, definitivament passarà quelcom de “phishy”.

Què heu de fer quan sigueu víctima de la pesca??

Us heu convertit en víctima del phishing? Les mesures de seguretat que hagueu d’adoptar depenen del tipus d’estafa. Aquí podeu què podeu fer si teniu preses una estafa de phishing:

  • Quan vas donar a algú la informació bancària, bloquejar la targeta i trucar al banc.
  • Si és un compte per a un servei en línia, ràpidament Canvia la teva contrasenya i altra informació crucial.
  • Quan heu fet clic en un enllaç sospitós o heu baixat un programari maliciós, utilitzeu programari antivirus per escanejar el vostre ordinador i posar en quarantena qualsevol virus.
  • Sempre contactar amb l’empresa o persona real i explica’ls què va passar. Potser us podran ajudar o, com a mínim, advertir a altres.
  • Informeu del phishing a les autoritats apropiades, per exemple a la policia.
  • Informa als teus amics (en línia) sobre la estafa. El criminal pot utilitzar les vostres dades per fer més víctimes.

Conclusió

La pesca no és un tipus desagradable de criminalitat en línia. Fer clic a un enllaç maliciós o iniciar sessió al lloc web equivocat pot tenir conseqüències desastroses. Per assegurar-vos que no sereu víctimes, és important mantenir-vos informats. Saber reconèixer un missatge de phishing i què fer quan en rebeu. Manteniu el phishing a distància configurant els comptes de la manera correcta. Ha passat alguna cosa independentment? Assegureu-vos de contactar amb les organitzacions adequades i prendre les mesures perquè el dany sigui al mínim.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me