2.2 Pesca de credencials, pesca per SMS i pesca per veu

La pesca de credencials (phishing) és una pràctica exercida a través d'Internet que consisteix a suplantar la identitat electrònica d'una organització determinada amb l'objectiu de convèncer algú perquè reveli informació confidencial com ara contrasenyes, dades de targetes de crèdit, de la Seguretat Social o números de comptes bancaris, que posteriorment seran utilitzats amb finalitats fraudulentes.

La pesca de credencials és un tipus d’atac molt utilitzat pels ciberdelinqüents. Els missatges de pesca de credencials semblen provenir d'organitzacions legítimes, com un departament de l'Administració o el teu banc. No obstant això, en realitat es tracta d'imitacions. Els correus electrònics sol·liciten amablement que actualitzis, validis o confirmis la informació d'un compte, i sovint suggereixen que hi ha un problema. Llavors et redirigeixen a una pàgina web falsa per tal de facilitar informació sobre el teu compte, la qual cosa pot provocar el robatori de la teva identitat.

Imagina que t'arriba aquest correu electrònic:

El correu és sofisticat, està escrit en català i fa referència al procés d'actualització del correu de la Generalitat.

En principi, sembla un correu poc sospitós. Si fessis clic on t’indiquen, et redirigiria cap a un web on t'hauries d’identificar amb les teves credencials d’accés del correu.

Això ja és més sospitós, però pots arribar a interpretar aquest fet com una capa més en la seguretat del sistema. ERROR! Així doncs, continues endavant amb el procés i t'indiquen que s'ha actualitzat el teu compte de correu satisfactòriament.

Una setmana més tard, es fan públiques dades confidencials publicades a la xarxa en les quals apareixen correus electrònics "pretesament" teus que comprometen el Departament. El que, en principi, va ser un procediment rutinari de manteniment, en realitat era un atac de pesca de credencials molt elaborat, i ara et trobes en un bon embolic.

Per aquest motiu és molt important verificar que l'adreça electrònica és de confiança i no sembla sospitosa. En aquest cas era evident que no era així (mailto:xxx@cerdanyola.cat), ni amb la signatura corporativa de correu corresponent.

Al començament del 2019 es va detectar una campanya d'enviament de correus electrònics fraudulents en què se suplantava l'Agència Tributària. El correu electrònic fals informava el contribuent que li corresponia un pretès reemborsament econòmic, i li proporcionava un enllaç a un web amb un formulari que tenia com a objectiu obtenir la seva informació personal i bancària.

El correu detectat que suplantava la identitat de l'Agència Tributària s'identificava amb l'assumpte "Missatge nou || [Codi numèric]". En aquest correu es comunicava a la persona destinatària que li corresponia un reemborsament de 350,16 euros.

Un altre punt que has de tenir en compte és que el correu electrònic no és l'única eina vulnerable a la pesca de credencials. L'ús habitual del mòbil també ha portat a modalitats vinculats a l'ús de missatgeria instantània, SMS o, fins i tot, ús de la veu en les trucades.

Què hem de tenir en compte per no caure en enganys?

vídeo 3

• No contestis en cap cas aquests correus.
• Precaució en seguir enllaços de correus, encara que siguin de contactes coneguts.
• Precaució a l’hora de rebre arxius adjunts de correus; encara que siguin de contactes coneguts, no els obris si no els esperes.
• No omplis en cap cas formularis de webs sospitosos que demanin la introducció de credencials.
• En cas de dubte, posa’t en contacte amb el servei de Suport Informàtic de la CAIB i notifica què t’has trobat.

* Pesca de credencials que suplantava la Generalitat de Catalunya i demanava credencials d'accés de l'adreça electrònica corporativa.

Que no et donin gat per llebre

vídeo 4

Recull de notícies que parlen de casos reals

Quatre detinguts per una ciberestafa de 34.000 euros a una empresa. 🔗enllaç

Claus per detectar sms que suplanten el BBVA. 🔗enllaç