Has rebut un missatge amb la teva adreça com a remitent on et reclamen un pagament?

26.11.2018

En les darreres setmanes alguns usuaris de TINET i d'altres serveis de correu han rebut a la seva bústia algun missatge de correu electrònic en que se li reclama que faci algun pagament per Internet. En aquest correu apareix com a remitent l'adreça de correu del mateix usuari. Aquest fet és utilitzat pel veritable remitent per simular que té accés a la bústia i donar por a l'usuari, tot i que no hagi accedit realment a la seva bústia.

En aquests missatges, el motiu per al qual es reclama un pagament sol ser divers:

  • Possessió de la contrasenya de l'usuari (sense indicar quina és).
  • Possessió de la contrasenya de l'usuari, indicant una contrasenya de l'usuari. En aquest cas el missatge conté una contrasenya que procedeix d'algun atac en alguna plataforma d'Internet diferent a TINET (Adobe, Linkedin, Taringa...) en que l'usuari estava registrat amb la seva adreça de TINET. Si l'usuari tenia la mateixa contrasenya en el correu i en la plataforma atacada, i no va canviar la contrasenya en ambdós llocs, les seves dades han estat en risc. A través del web haveibeenpwned.com es pot comprovar si les dades d'un compte d'Internet (vinculades a una adreça de correu electrònic) han estat compromeses i en quines plataformes s'ha registrat un atac.
  • Amenaça de bloquejar l'ordinador de l'usuari. El mafactor informa que ha instal·lat prèviament programari maliciós en el seu ordinador.
  • Possessió de fotografies de l'usuari quan suposadament aquest accedia a pàgines pornogràfiques.

Realment han accedit a la bústia de l'usuari?

En la gran majoria de casos es tracta dels típics correus de brossa o phishing de sempre, però amb la particularitat que se simula que l'enviament s'ha realitzat des de la mateixa bústia de l'usuari. Els malfactors s'aprofiten de servidors vulnerables aliens a TINET per accedir-hi, modificar-hi els paràmetres de sortida i simular l'enviament de missatges amb dominis d'altres servidors (com Gmail, Tinet...).

Els sistemes antispam, com el de TINET, normalment identifiquen aquests missatges i els retenen en el seu espai de quarantena. En alguns casos, però, aquests missatges no són identificats immediatament com a correu brossa i s'entreguen a la bústia de l'usuari. A mida que s'identifiquen com a spam, aquests missatges es deixen de rebre.

En la identificació dels missatges brossa hi intervenen diversos factors, com la reputació del servidor de sortida. Si els malfactors van canviant de servidors per fer els seus enviaments, és més díficil que en els primers missatges els sistemes antispam els puguin identificar com a brossa.

Què ha de fer l'usuari?

  • Davant del mínim dubte, el més recomanable és canviar la contrasenya.
  • No s'ha d'utilitzar la mateixa contrasenya en diversos llocs i serveis web. Si algú aconsegueix entrar en un, podria accedir a la resta.
  • Passar l'antivirus a l'ordinador regularment.
  • Mentre no s'utilitza una càmera web, com a norma general és recomanable tenir-la desconnectada o amb l'objectiu tapat.

En cas que l'usuari tingués un indici clar i evident que l'amenaça fos certa i que el malfactor pogués disposar d'altre material diferent a la contrasenya, seria recomanable que l'usuari s'adrecés als Mossos d'Esquadra per interposar la conseqüent denúncia.