El phishing és una de les tècniques més usades pels ciberdelinqüents per robar dades personals i bancàries. Amb l'ajuda de tècniques d'enginyera social, el ciberdelinqüent suplanta la identitat d'entitats, persones, marques o serveis coneguts per intentar enganyar les seves víctimes. El seu objectiu final sol ser els diners i/o l'obtenció d'informació sensible, generalment infectant l'equip mitjançant la descàrrega d'un programari maliciós.

Durant anys, els pirates han evolucionat i perfeccionat els seus mètodes d'engany, i creen correus de phishing cada vegada més sofisticats i difícils de detectar. Per aquest motiu, per no caure en la trampa, l'usuari ha d'aprendre a reconèixer els senyals que puguin delatar el ciberdelinqüent. 

Quan rebem un nou correu, hem de formular-nos les preguntes següents:


1. El missatge és sospitós?

Per enganyar la seva víctima, el ciberdelinqüent pot crear correus que inspirin confiança o curiositat, suplantant la identitat d'una entitat bancària, d'una plataforma de vídeo en streaming o simplement escrivint un missatge atractiu que impulsi a clicar en un enllaç o arxiu. 

Encara que el remitent sigui aparentment conegut i/o el missatge molt temptador, no s'ha de confiar en correus inesperats o en respostes que no hem sol·licitat


2. Qui envia el correu?

És imprescindible analitzar amb detall l'adreça de correu del remitent i no fiar-nos només del nom que ens mostra. Has de fixar-te sempre en el domini que utilitza: si el correu és d'una entitat o d'un servei, és molt probable que utilitzi els seus propis dominis per a les adreces electròniques corporatives. Si reps la comunicació des d'una bústia de correu genèric tipus @gmail.com, @outlook.com, comença a sospitar.

Els ciberdelinqüents també poden crear dominis que a primera vista semblen reals, però que, si ens hi fixem molt bé, es poden apreciar petites modificacions en el domini real. Per exemple: caixabank.com és real, però caixabanc.com, no. Per això és necessari confirmar que l'adreça de correu té el domini oficial de l'empresa i no deixar-se enganyar per petits canvis de vegades gairebé imperceptibles.

Fins i tot així, si el domini del correu és aparentment el legítim, però el contingut del correu ens sembla sospitós, sempre és aconsellable contactar amb el remitent per un altre canal (telefònicament, per exemple) per confirmar la legitimitat del correu, abans de clicar a cap enllaç o annex que pogués contenir.


3. És una petició urgent?

Crear sensació d'urgència és un recurs habitual entre els pirates. Missatges com “La seva contrasenya ha caducat. “Té 24 h per modificar les seves claus d'accés...”, empenyen la víctima a prendre una decisió ràpida i precipitada. 

A més de les presses, el concepte de la confidencialitat també és molt usat en aquest tipus d'estafes. Missatges com “Si us plau, no comentis això amb ningú més, és un assumpte secret i confidencial. Confio en tu...” volen dissuadir la víctima de fer les comprovacions de seguretat pertinents i no confirmar per tant la petició amb ningú més. Per molta urgència o secretisme que transmeti el missatge, sempre es recomana contactar amb el remitent per un altre canal per verificar que el correu és realment legítim.


4. A qui va dirigit el correu? 

Generalment, les campanyes de phishing són massives i s'adrecen a centenars de milers de persones a tot el món. Per tant, és habitual que no comptin amb les dades personals de les seves víctimes potencials i utilitzin termes genèrics com “amic”, “Estimat client” o “Bon dia”, sense utilitzar el nom de pila de cada individu. 

Tanmateix, les tècniques dels pirates s'han anat perfeccionant i cada vegada són més nombrosos els casos de phishings dirigits i personalitzats a víctimes concretes, com les estafes del Frau al CEO i el Frau factures.

Per aquest motiu, que el remitent conegui el nom de l'usuari, no és una prova de la seva legitimitat

5. L'enllaç és legítim? 

Si el correu conté un enllaç, és necessari comprovar a on condueix abans de clicar-lo, ja que podria ser un enllaç trampa. Hem d'analitzar la seva adreça web, o URL, per veure si és coneguda. Com?

Passar el cursor per damunt de l'enllaç sense clicar-lo, permet veure l'adreça web i comprovar si és coneguda o no. Aquesta apareix en una petita finestra emergent i als peus de la majoria dels navegadors d'internet. Si l'adreça a la qual dirigeix l'enllaç no correspon a la que apunta el contingut del missatge, podria ocultar un web maliciós.


6. Està ben escrit?

Que una entitat o companyia enviï una comunicació amb una redacció i ortografia descuidades, és un senyal d'alarma que ens indica un possible correu fraudulent.

Les campanyes de phishing a vegades es fan des de l'estranger i estan destinades a atacar persones de diferents nacionalitats. Per tant, els ciberdelinqüents tradueixen els seus missatges a diversos idiomes, a vegades amb molts errors, a causa de l'ús de traductors automàtics.

Frases mal construïdes, traduccions massa literals, paraules amb símbols estranys o errades semàntiques són pistes que poden delatar els estafadors. Però també es registren nombrosos casos de correus phishing elaborats amb una escriptura perfecta.  Qualsevol tipus de text, estigui ben escrit o no, és susceptible d'ocultar un intent de frau. 

7. Si segueixo sense estar 100% segur...

És possible que tot i que s'analitzin tots els elements del correu, encara no puguis assegurar al 100% la seva legitimitat. Els phishings són cada vegada més sofisticats i a vegades és molt difícil distingir-los d'un correu legítim.   

En aquests casos, s'ha de confirmar l'autenticitat del remitent mitjançant un altre canal. És a dir, si es rep un correu sospitós per part d'una empresa i/o persona, és convenient posar-se en contacte amb aquesta per telèfon per verificar que la comunicació és real i legítima. 

Estàs segur que és CaixaBank qui t'està contactant?

Malgrat que les empreses inverteixen cada dia més en noves i millors mesures de ciberseguretat, els usuaris hem d'aprendre a reconèixer les amenaces que aguaiten el món digital. Tots podem ser l'objectiu dels ciberdelinqüents, inclosos els usuaris de serveis bancaris. 

Per exemple, com a usuari de CaixaBank Sign, pots rebre el correu o el missatge de text fraudulent d'un ciberdelinqüent, amb l'assumpte “té un problema amb la seva CaixaBank Sign”. 

Si no analitzes correctament el correu seguint els passos de seguretat anteriors, corres el risc de clicar a un enllaç fraudulent, i poder arribar a cedir així les teves claus d'accés al ciberdelinqüent.  No obstant això, per fer operacions sempre et demanarem un segon codi de seguretat, ja sigui un codi de la teva targeta de coordenades o el que et manem mitjançant SMS al teu telèfon. Recorda que aquest codi mai no l'has de compartir amb tercers.