política de cookies

Utilitzem cookies per a facilitar l'ús de la nostra pàgina web.

Les cookies que utilitzem no emmagatzemen cap dada personal, ni cap mena d'informació que pugui identificar-li. En cas de no voler rebre cookies, si us plau configuri el seu navegador d'Internet perquè les esborri del disc dur del seu ordinador, les bloquegi o li avisi en cas d'instal·lació d'aquestes. Per a continuar sense canvis en la configuració de les cookies, simplement continuï en la pàgina web. En visitar la nostra pàgina web, accepta la instal·lació d'aquestes cookies en el seu dispositiu.

x
Bitendian logo

Com afrontar els perills del phishing

61 - 061-phishing.jpg

El phishing ha adquirit gran rellevància, fins al punt de què a prou feines pot parlar-se d'algun servei ofert en Internet sense del risc de caure en el parany dels professionals d'aquest astut art. De fet, segons dades revelades per Kasperksy Lab, empresa líder en seguretat informàtica, entre 2011 i 2013 aquest tipus d'incidents provocats per pirates informàtics va arribar gairebé a duplicar-se.

El ventall de serveis utilitzats pels ciberdelincuents per a suplantar la identitat inclou bancs, passarel·les de pagament online, xarxes socials, pàgines de compra/venda, suports tècnics i helpdesks, portals de joc online, etc.

La qüestió plantejada consisteix a distingir phishing i missatgeria de correu electrònic genuí. Per a això, ha de parar-se atenció a la mecànica que porta implícita el procés de phishing. En la majoria dels casos, la seva base és l'enviament de correus electrònics que contenen algun enllaç a una web falsa amb trets impostors de la identitat d'una organització. Una vegada bolcats dades de rellevància personal o corporativa en aquella, queden automàticament allotjats en un arxiu de text pla, en poder del ciberdelincuent, la qual cosa proporciona excel·lents eines per a realitzar estafes.

No s'ha d'acotar el perill a el el perill al format de correu electrònic, perquè estan emergint amb força certes modalitats de phishing com a missatges intercanviats mitjançant aplicacions de missatgeria instantània (WhatsApp, per exemple), notificacions en xarxes socials o SMS.

L'escenografia del phishing revela la capacitat de mostrar una interfície d'aparença gairebé idèntica a la del lloc legítim la identitat del qual pretén suplantar-se. Crida molt l’atenció la creativitat de la qual fan gala els phishers per al disseny d'arguments realistes capaços d'esquivar sospites en els usuaris. Aspectes com ara la seguretat de l'entitat suplantada o necessitat d'executar algun tràmit que requereixi facilitar dades confidencials solen ser l'ham més comú, la qual cosa força a l'usuari a prendre una decisió precipitada davant l'espasa de Dàmocles de poder sofrir conseqüències negatives, com la negació d'un servei essencial o una sanció econòmica. Dins d'aquests arguments, caben suposats com:

  • Advertir d'una suposada irrupció d'episodis de frau que demanda un reforç urgent de la seguretat informàtica.

  • Informar sobre modificacions en els plantejaments de seguretat informàtica de l'entitat.

  • Promocions de nous productes o obsequis.

  • Alerta per intents d'accés al compte bancari de l'usuari.

  • Donar a conèixer ofertes de treball, evidentment fictícies.

Lògicament, aquests ardits, si bé són molt elaborades, no són perfectes i, en conseqüència, són susceptibles de poder interceptar-se a temps. Per a aconseguir-ho, convé vigilar una sèrie de detalls que poden insinuar que s'està davant un cas de phishing:

  1. La generació dels missatges sol valer-se d'eines de traducció i sinònims i, fins i tot, és freqüent que aquells hagin estat escrits per persones que desconeixen l'espanyol, la qual cosa inevitablement dóna peu a errors ortogràfics i gramaticals. Han de ser motiu de sospita, per exemple, l'abundància de signes d'exclamació i les discordances de gènere i número en la redacció.

  2. És freqüent la pressió per a realitzar una acció en un termini de temps breu. Normalment, sota amenaça que no atendre l'exigència pot ocasionar un bloqueig o qualsevol altra conseqüència que pugui produir neguit en l'usuari.

  3. Una entitat bancària o d'un altre tipus mai requerirà informació personal que ja tingui al seu poder, per la qual cosa, davant el cas d'un missatge d'aquest tipus, el més probable és que es tracti de phishing, que ha de posar-se en coneixement de l'entitat suplantada.

  4. Els missatges de qui disposa de manera legítima de les dades de l'usuari per tenir entaulada amb ell una relació solen encapçalar-se de manera personalitzada, fugint d'apel·lacions genèriques com a "estimat client" o "estimat usuari".

  5. Amb freqüència, les URLs de les pàgines a les quals redirigeixen aquests missatges fraudulents no coincideixen amb les dels enllaços en els quals s'ha clicat, al que ha d'afegir-se un detall subtil: l'https:// sol perdre la lletra “s” i es transforma en http://, que ja no compta amb el nivell de xifrat segur. 

  6. Llargues enquestes i arxius adjunts en Microsoft Word no són instruments propis de les empreses per a comunicar-se amb els seus clients o associats, que solen valer-se de formularis online, per la qual cosa ha de desconfiar-se d'ells.

Amb tot aquest panorama amenaçador, a més dels detalls específics citats, han d'adoptar-se unes pautes de comportament globals en la gestió del correu electrònic:

  • Evitar el spam, sols ser el principal vehicle de phishing.

  • No clicar en enllaços inclosos en missatges de correu: és preferible entrar al lloc web de manera independent.

  • Verificar els certificats digitals fent doble clic sobre el cadenat de la barra d'estat.

  • El correu electrònic és senzill d'interceptar, per la qual cosa mai ha d'utilitzar-se per a enviar dades sensibles.