Què és la phishing i quins són les seves conseqüències?

Descobreix com poden robar-te la teva informació a través d'un correu electrònic.

La phishing és una de les tècniques més utilitzades en el robatori de dades, sobretot a nivell bancari. Consisteix en l'enviament d'una adreça electrònica en què els ciberdelinqüents suplanten la identitat, en la majoria de casos d'una companyia molt coneguda, i en què sol·liciten informació personal i bancària a l'usuari. A través d'un enllaç inclòs en el correu electrònic intenten redirigir-li a una pàgina web fraudulenta perquè introdueixi aquesta informació.

Els seus components són els mateixos que tindria un original, tant logotips i imatges com a enllaços que redirigeixen aparentment al web del banc. Una còpia exacta del qual punt negre sol estar en el text, que sol contenir errors gramaticals o paraules que habitualment la marca no utilitza, i amb què transmeten urgència i por perquè l'usuari faci les accions que li sol·liciten.

Quins tipus de phishing ens podem trobar?

Existeixen diferents tipus d'atac en funció del suport, del destinatari o, fins i tot, de la informació que es desitja sostreure:

  • Phishing tradicional (conegut també com Deceptive phishing): és el més comú i correspon amb què hem explicat prèviament. El ciberdelinqüent suplanta la identitat d'una entitat amb la intenció d'aconseguir la nostra informació delicada. El correu electrònic sol incloure un enllaç que redirigeix a una pàgina web fraudulenta dissenyada per robar la informació dels usuaris.
  • Malware-based phishing, el correu electrònic enviat pel pirata inclou un arxiu adjunt o un enllaç a un lloc web que conté malware. Baixar el primer o punxar en el segon el posa a la recerca i captura de les dades personals de l'usuari, aprofitant les possibles vulnerabilitats del dispositiu electrònic. Una modalitat d'aquest tipus d'atac és la suplantació d'una companyia de serveis que envia adjunt el rebut d'una factura en format PDF.
  • Spear phishing, el que caracteritza a aquesta phishing és que sol estar dirigit a una entitat o, fins i tot, a un grup de persones concret amb un perfil determinat. Per executar-ho bé, el ‘phisher’ sol fer un estudi previ de la seva víctima de cara a obtenir certa informació personal (el seu nom o direcció) que li permeti, a posteriori, superar la barrera de la desconfiança i comptar amb més possibilitats d'èxit.
  • Pharming: més tècnic que els anteriors, permet als pirates redirigir les adreces web a un lloc fals utilitzant un codi maliciós. Així, si l'usuari introdueix les seves credencials, el farà en una pàgina web falsa, amb tot el que això comporta.

Com protegir-te de la phishing

Aquests atacs poden tenir conseqüències molt negatives si arriben a bon port, ocasionant problemes de privacitat o econòmics en cas de robatori d'informació bancària. Per a estar protegit davant ells et recomanem:

  • Reforçar la seguretat del teu dispositiu, ja sigui el teu ordinador personal o el teu dispositiu mòbil, i mantenir actualitzats el sistema operatiu, el navegador i les aplicacions. Una combinació que pot evitar-te molts problemes econòmics.
  • No introduir mai les teves dades personals en una pàgina web a què has accedit a través d'un correu. En cas que sí la coneguis, entra teclejant la direcció en el navegador
  • Revisar els teus comptes periòdicament, el que et permetrà tenir controlats els moviments que es fan en elles i el total acumulat. Si veus alguna operació que no reconeixes, posa't immediatament en contacte amb atenció al client (o amb el teu gestor) per solucionar-ho.
  • Recordar que BBVA mai no et sol·licitarà la teva informació bancària per adreça electrònica o SMS, així que no la proporcions per aquests canals.
  • Revisar bé la URL de l'enllaç que t'han enviat. Fins al més mínim detall (una lletra diferent, un punt o un guió, per exemple) pot ser clau per a no caure en la trampa. També has de comprovar que inclogui la ‘s’ després del ‘http’, segell inequívoc de seguretat. 
  • Verificar que el remitent de l'adreça electrònica és correcte. Els ciberdelinqüents solen utilitzar tècniques per simular que es tracta del remitent oficial, incloent algun caràcter especial entre elles (bbv-a, per exemple) o canviant alguna lletra per una altra semblant (bbua).
  • No seguir llegint el missatge si és extremadament alarmant o si t'obliga a prendre una decisió en un període curt de temps. Si es dona algun dels dos casos, el banc contacta amb el seu client per una via més segura. 
  • No baixar un arxiu adjunt, més sense passar-ho per un antivirus, llevat que sàpigues que prové d'una font segura. El simple fet de baixar-ho al teu dispositiu, de sobretaula o mòbil, activa l'agent maliciós.