Phishing: què és i perquè és rendible

Phishing és l'art de "pescar" internautes desprevinguts. A la imatge, una persona pescant... peixos. Fotografia de Hammerin Man a Flickr sota llicència Creative Commons
Compartir

És la pràctica de cibercrim més reeixida i rendible per als malfactors. Us expliquem en què consisteix i com defensar-se’n.

Fa molt de temps que, com a assistent al Mobile World Congress de Barcelona, ​​no em perdo la roda de premsa que en aquest esdeveniment hi organitza Kaspersky Lab, i que fa alguns anys va comptar amb la presència del mateix Eugene Kaspersky, cofundador i CEO de la companyia.

Parlant un dia en privat amb ell (tot un afable personatge, per cert) després d’una d’aquestes rodes de premsa, em va dir una frase que em va quedar gravada a foc: “si hi ha cibercriminals, és perquè el cibercrim funciona i dóna diners“. I això vol dir que hi ha víctimes que cauen de quatre potes a les trampes que els malfactors els paren.

I si existeix, a dia d’avui, una forma efectiva i rendible de cibercrim, aquesta és l’anomenada “phishing”, la “pesca” d’internautes (phishing és una paraula derivada del verb to fish, pescar en anglès) que consisteix en simular serveis online i atreure mitjançant enganys als internautes per a què creguin que estan entrant les seves dades personals en els serveis online legítims.

¿Quines són les claus del funcionament d’aquestes trampes? La mateixa Kaspersky Lab ens ho explica.

Hem de tenir en ment que els que duen a terme aquestes pràctiques són delinqüents i estafadors. Tots hem vist alguna pel·lícula d’estafes en la qual els protagonistes es valen del seu encant per a “seduir” en certa forma a la víctima del seu joc. La vida real no difereix gaire d’aquests metratges, i els estafadors es valen del seu encant per a què les víctimes creguin en ells.

En el phishing també trobem aquest component de generar confiança per enganyar a l’Internauta, generalment amb ofertes temptadores i aprofitant-se del ressò mediàtic de notícies d’actualitat que provoquen un gran impacte en la població.

Però on això s’escenifica encara amb més contundència és a les xarxes socials.

La confiança que genera “un amic d’un amic” serveix als cibercriminals per anar teixint xarxes que els ajuden a captar encara un major nombre de persones. Publicacions que, en fer clic sobre elles, es publiquen automàticament en el nostre perfil i en el de tots els nostres amics, són habituals.

A partir d’aquí, és lògic que, qui més qui menys, faci també clic en aquesta publicació i el cicle torni a començar, multiplicant exponencialment l’èxit que tenen els cibercriminals.

Segons indica Kaspersky, el 2013 el 35% dels atacs per phishing anaven dirigits a les xarxes socials i, d’aquests, un 63% consistien en falses pàgines de Facebook.

Si alguna vegada us truca el representant de la vostra entitat bancària solicitant-vos amb urgència el número PIN de la vostra tarja de crèdit perquè han patit un robatori de dades o estan realitzant comprovacions, no li feu cas. Pengeu i millor truqueu vosaltres al banc, si pot ser, des d’un telèfon diferent.

Una persona pressionada per una situació d’emergència és generalment incapaç de pensar amb la mateixa claredat que en situacions en les quals no hi ha la mateixa pressió, pot cedir fàcilment a revelar informació confidencial de cert tipus.

Aquest fet ha provocat que també es dispari l’anomenat vishing o pesca de veu, una pràctica en la qual ens truquen per telèfon per aconseguir dades privades per realitzar una estafa.

Però Kaspersky no es queda aquí, explicant només les claus de l’èxit del principal parany en el qual poden caure els internautes. A més, també fa un vaticini: en el futur proper, les amenaces de tipus phishing es veuran incrementades en nombre i es tornaran encara més sofisticades, de manera que suposaran un problema encara més gran per a la seguretat dels internautes.

La pràctica del phshing no és estàtica, es mou i evoluciona a mesura que els seus paranys van sent coneguts i que la retorçada mentalitat dels cibercriminals idea noves formes d’enganyar.

El salt quantitatiu que veurem al llarg dels propers mesos i anys es produirà en els dispositius mòbils, smartphones i tauletes, ja que característiques com les mides de les seves pantalles dificulten el diferenciar un lloc web autèntic d’un de fals.

Com detectar i evitar el phishing

Kaspersky ens ofereix una sèrie de consells per no caure en les trampes dels estafadors:

  • Tenir sentit comú en navegar per la xarxa.
  • Mantenir la calma i no deixar-se provocar per ningú, una cosa molt comuna en els casos tant d’estafes com de vishing.
  • Para compte als enllaços que t’envien per mail o les xarxes socials i fixar-te en les pàgines web a les que aquests et dirigeixen.
  • Si reps un enllaç sospitós, d’un amic o conegut, pregunta-li si ha estat ell qui te l’ha enviat.
  • Si et trobes davant d’un atac vishing (per telèfon), recorda que cap representant d’un banc t’insistirà per a què li diguis quin és el número de la teva tarja de crèdit. Ells ja disposen d’aquesta informació i, a més, no necessiten sol·licitar-te-la.
  • L’ideal és evitar accedir a pàgines web a través d’enllaços. El millor és que escriguis per tu mateix el nom del lloc que vols visitar a través de la barra d’adreces del navegador.
  • Mantingues el teu antivirus sempre actualitzat, especialment si aquest compta amb eines antiphishing. Naturalment, Kaspersky recomana la seva pròpia eina per combatre el phishing, que avalua cada pàgina a la qual s’accedeix i la compara amb més de 200 criteris típics de pàgines de phishing.

Imatge que il·lustra aquest article de Hammerin Man a Flickr sota llicència Creative Commons

Guillem Alsina
Etiquetes: