Phishing: alerta amb mossegar l'ham!

08.10.2014

El 'phishing' és una estafa informàtica. El ciberdelinqüent es fa passar per una empresa o institució de confiança i, a través d'Internet, intenta enredar la víctima perquè aquesta li faciliti informació confidencial necessària per accedir a comptes personals i aconseguir -d'alguna o altra manera, sostreure diners. Es tracta d'un delicte amb més de 15 anys d'història, que no deixa de buscar víctimes. El terme phishing prové de la paraula anglesa 'phishing' (pesca), fent al.lusió a l'intent de fer que els usuaris "mosseguin l'ham". A qui el practica se l'anomena phisher.

Montse Jaraba/TINET L’any 1996 ja es va utilitzar aquest terme quan es va detectar que s’intentaven “pescar” comptes de l’empresa de serveis d’Internet AOL per poder gaudir-ne de franc.  Els detinguts per aquest tipus de delicte, tot sovint, fan d’intermediaris. La majoria són persones a l’atur que aporten les seves dades i identitat a webs destinades a buscar feina. Aquest és el lloc on les bandes organitzades capten a aquests intermediaris o “mules” que, sabent-ho o no, participen d’un delicte i poden ser condemnats per aquests fets.

El canal més utilitzat pels delinqüents per 'pescar' una víctima és el correu electrònic. El phising no ha parat de créixer en la darrera dècada. Mitjançant l'enviament indiscriminat de mails aconsegueixen que algunes persones caiguin en el parany. Els correus inclouen un 'link' que, sovint, condueixen a una pàgina construïda per semblar el web oficial d'una entitat bancària.

Els missatges utilitzen tot tipus d'arguments relacionats amb la seguretat de l'entitat per justificar la necessitat d'introduir les dades d'accés. Alguns exemples poden ser:

  •     Problemes de caràcter tècnic.
  •     Recents deteccions de fraus.
  •     Noves recomanacions de seguretat.
  •     Canvis en la política de seguretat de l'entitat.

De vegades senzillament volen conèixer les dades del vostre compte de correu: usuari i contrasenya, per accedir així a informació privada que els condueixi fins els vostres comptes bancaris. En aquest cas, poden identificar-se com a l'empresa o entitat que us proveeix el servei de correu.

Heu de saber que els autèntics proveïdors d'aquest tipus de serveis mai us demanaran que envieu un correu amb les vostres dades d'accés. Desconfieu-hi i no en feu cas!

Recomanacions davant la sospita de phishing

  •      No respondre a correus electrònics escrits en idiomes que no es parlin: la vostra entitat financera no us enviarà un comunicat en aquest idioma si no ho heu pactat prèviament.
  •      No respondre a correus enviats per entitats de les quals no sou client en què us demanin dades íntimes o que afectin a la seguretat.
  •      No atendre de forma immediata o impulsiva a correus que parlin d'un sorteig o una oferta.
  •      No atendre a correus que us avisin del cessament d'activitat financeres rebudes per primer cop i per sorpresa.
  •      No atendre a correus que facin sospitar sense confirmar-los per telèfon o personalment.

Un usuari amb el qual es contacta mitjançant un missatge electrònic i on s'esmenta la necessitat de "verificar" un compte electrònic pot, o bé contactar amb la companyia que suposadament li envia el missatge, o pot escriure l'adreça web d'un lloc web segur a la barra d'adreces del seu navegador per evitar utilitzar l'enllaç que apareix en el missatge sospitós de phishing.

Alertes automàtiques sobre possible phising

Moltes companyies, incloent eBay i PayPal, sempre es dirigeixen als seus clients pel seu nom d'usuari en els correus electrònics, de manera que si un correu electrònic es dirigeix a l'usuari d'una manera genèrica com ("Benvolgut membre d'eBay") és probable que es tracti d'un intent de phishing.
Hi ha diversos programes informàtics anti-phishing disponibles. La majoria d'aquests programes treballen identificant continguts phishing en llocs web i correus electrònics, alguns programari anti-phishing poden per exemple, integrar-se amb els navegadors web i clients de correu electrònic com una barra d'eines que mostra el domini real del lloc visitat.

Us deixem enllaços a aquestes extensions per als principals navegadors:

Mozzilla firefox

Els filtres d'spam en el servei de correu electrònic també ajuden a protegir els usuaris dels phishers, ja que redueixen el nombre de correus electrònics relacionats amb el phishing rebuts per l'usuari. Moltes organitzacions han introduït la característica anomenada pregunta secreta, en què es pregunta informació que només ha de ser coneguda per l'usuari i l'organització. Les pàgines d'Internet també han afegit eines de verificació que permet als usuaris veure imatges secretes que els usuaris seleccionen per avançat; si aquestes imatges no apareixen, aleshores el lloc no és legítim. Aquestes i altres formes d'autenticació mútua continuen sent susceptibles d'atacs. Moltes companyies ofereixen a bancs i altres entitats que pateixen  d'atacs de phishing, serveis de monitorització continus, analitzant i utilitzant mitjans legals per tancar pàgines amb contingut phishing.

L'Anti-Phishing Working Group, un grup de treball integrat per empreses i institucions per lluitar contra les pràctiques de phishing, ha suggerit que les tècniques convencionals de phishing podrien ser obsoletes en un futur a mesura que la gent s'orienti sobre els mètodes d'enginyeria social utilitzades pels phishers. El pharming(1) i altres usos de malware(2) s'estan convertint en eines més comunes per al robatori d'informació.

(1) Pharming és l'explotació d'una vulnerabilitat en el programari dels servidors DNS (Domain Name System) o en el dels equips dels propis usuaris, que permet a un atacant redirigir un nom de domini a una altra màquina diferent. D'aquesta manera, un usuari que introdueixi un determinat nom de domini que hagi estat redirigit, accedirà a la pàgina web que l'atacant hagi especificat per aquest nom de domini.

(2) Malware de l'anglès Malicious programari, també anomenat badware, programari maliciós o programari maliciós és un tipus de programari que té com a objectiu infiltrar o danyar un ordinador sense el consentiment del seu propietari. El terme malware és molt utilitzat per professionals de la informàtica per referir-se a una varietat de programari hostil, intrusiu o molest.