Esquivant els perills del ‘phishing’

El phishing és la 'pesca' d'internautes a través del correu electrònic
Compartir

El phishing és, actualment, una de les formes més comunes d’atac a la seguretat dels internautes. Però en què consisteix exactament aquesta pràctica? I el que és més: com podem evitar caure’n víctimes?

En essència, el phishing (paraula que ve del verb anglès to fish, pescar) consisteix en l’enviament de missatges de correu electrònic que imiten la correspondència de determinades empreses que ofereixen serveis en línia, amb la intenció fraudulenta de conduir als internautes -enganyats, òbviament- a pàgines web que imiten l’aparença de la pàgina real de l’empresa, però que NO HO SÓN, i en les quals se’ns instarà a introduir dades sensibles com ara contrasenyes o números de tarja de crèdit.

La semblança amb la pesca és que el correu electrònic, construït de manera versemblant per a què sembli lícit, actua d’esquer.

Per la seva facilitat i la seva taxa d’èxits, el phishing s’ha convertit en una de les formes d’atac preferides dels cibercriminals. Segons la companyia de màrqueting digital Mailify, entre el 2011 i el 2013, aquesta pràctica va augmentar en un 87%.

La mateixa Mailify també ens proposa un decàleg de normes a seguir per detectar un atac de phishing abans que aquest ens sorprengui i ens faci “picar”:

1. Adreça del remitent . Si l’adreça de correu electrònic no conté el nom de l’empresa, és un correu electrònic no fiable. Per exemple, una adreça real d’iTunes és: do_not_reply@itunes.com. Per tant, encara que el nom del remitent sigui iTunes, si l’e-mail és info_itunes@gmail.com, es tracta d’un cas de phishing.

2. Salutació genèrica. Els mailings professionals acostumen a estar personalitzats amb el nom del destinatari. Cal sospitar d’emails que comencin per “Estimat client” o “Benvolgut usuari” de manera genèrica.

3. Informació personal. L’objectiu del phishing és aconseguir les dades personals i contrasenyes dels receptors. Una empresa no demanarà informació d’aquesta mena via correu electrònic.

4. Caràcter urgent. Les empreses acostumen a sol·licitar per telèfon les dades personals o de caràcter urgent. Si un client rep un mail en el qual s’hi especifica un termini determinat per realitzar una acció que no estava prevista, probablement serà un cas de phishing.

5. Amenaces encobertes. Les marques fan tot el possible per fidelitzar els seus clients, per això no pensaran en esborrar o desactivar el compte d’un dels seus clients de cop i volta. Si un usuari rep un missatge que conté amenaces d’aquesta mena, és millor eliminar-lo.

6. Enllaços incoherents. Un phishing conté generalment un enllaç en el que el nom de l’empresa no concorda amb el de la URL. A més, l’https:// inicial amb la s de segur, es converteix en http:// sense cap mena de seguretat. D’altra banda, un enllaç visible pot portar a una altra URL que no tingui res a veure, ja que es pot posar una adreça qualsevol en qualsevol text.

7. Errades gramaticals o d’ortografia. Especialment quan vénen d’altres països en els quals s’hi parla un idioma diferent, en molts casos estan escrits emprant traductors automàtics que no donen un bon resultat. Múltiples faltes d’ortografia i gramàtica, majúscules i signes de puntuació en excés són algunes errades que poden permetre identificar un correu fals.

8. Arxius adjunts. Molt de compte amb obrir arxius adjunts encara que apareguin com a formularis de verificació. Una empresa gran no gestionarà milers de formularis en format Word quan resulta més fàcil fer-ho des d’un formulari online.

9. Signatura. Un email d’empresa sense informació complementària del remitent o signat per un simple atenció al client ja ens ha de fer dubtar de la seva veracitat.

10. Sense consentiment. Segons la llei, els usuaris han de donar el seu consentiment previ a una empresa a través de l’opt-in per començar a rebre les seves comunicacions. Si es rep un correu electrònic d’una marca a la qual no s’està subscrit, és millor eliminar-lo.

Guillem Alsina
Etiquetes: