Phishing: Estafa l’objectiu de la qual és obtenir, a través d’internet dades privades dels usuaris, especialment per a accedir als seus comptes o dades bancàries. Phishing: Què és?
Els atacs informàtics
És un atac informàtic d’enginyeria social que explota els instints socials de la gent i usa mitjans de comunicació digitals, com el correu electrònic, un mètode que utilitzen els ciberdelinqüents per a enganyar i estafar a les persones. L’estafador suplanta una identitat de confiança falsa per a enganyar i aconseguir les dades que necessita (contrasenyes, dades bancàries, dades de targetes de crèdit, etc.).
Els atacs de phishing es poden classificar segons l’objectiu al qual es dirigeixi l’assalt, la fi, el mitjà que s’utilitza o segons la manera d’operació.
Tipus de phishing
Encara que en l’actualitat s’han detectat més de 10.000 formes de phishing, els més freqüents són:
- Spear phishing: El seu objectiu és una persona o empleat determinat d’una companyia en concret. En aquest cas els Fishers recopilen quanta informació sobre la futura víctima els sigui possible, per a captar i aconseguir la seva plena confiança. Un correu de Spear phishing ben fet i configurat (amb enllaç o document adjunt maliciós) és molt difícil de diferenciar d’un real. D’aquesta manera és més fàcil pescar a la presa. És una tècnica encarada als atacs a empreses, bancs o persones reconegudes. Els objectius del Spear phishing són els alts càrrecs d’empresa amb ampli accés a informació de rellevància i departaments que s’encarreguen d’obrir nombrosos documents.
- Whaling: En aquest cas l’objectiu són persones importants, com els executius d’alt rang. Les sol·licituds d’informació contingudes en l’atac estan més adaptades a la persona determinada. La informació pot incloure sol·licituds de citacions, queixes de clients, sol·licituds de transferències bancàries, etc. La persona, desprevinguda pot sentir-se temptat a revelar informació confidencial del sistema de la qual només uns pocs tenen accés.
- Vishing: Semblant al phishing tradicional però, en aquest cas, l’engany es realitza a través d’una trucada telefònica. El terme prové de la unió de dues paraules angleses: “voice” i “phishing”. Un exemple característic d’aquesta tècnica és quan un ciberdelinqüent ha robat ja informació confidencial a través d’un atac de phishing. En necessita la clau mitjançant un SMS o token digital per a validar l’operació, truca per telèfon al client i s’identifica com a personal del banc i normalment amb missatges especialment alarmistes, per a intentar que el client li doni el número de la seva clau.
- Phishing per email: Es basa en utilitzar el correu electrònic per a desplegar tàctiques d’enginyeria social i aconseguir enganyar empleats desprevinguts.
Intents de phishing
Podem detallar algunes manifestacions d’un intent de phishing:
- Des del correu electrònic arriba una oferta que sembla massa bona per a ser veritat. Per exemple, diu que ha guanyat la loteria, un premi car o qualsevol altra cosa de gran valor.
- Sospiti si reconeix al remitent; si no és habitual o el contingut no té relació amb la seva responsabilitat laboral habitual.
- Sospiti si apareix en còpia en un correu electrònic a persones a les quals no coneix.
- Sospiti si el missatge sona alarmista i crea un sentit d’urgència inmediat i faci que actuï ràpid i faci clic abans que s’elimini el seu compte.
- Sospiti si el missatge conté arxius adjunts estranys, poden contenir malware o qualsevol altra amenaça.
- Sospiti si el missatge conté enllaços estranys. Passi el cursor per sobre de l’enllaç per a comprovar si la URL és real. Estigui molt atent al llenguatge i a errors ortogràfics.
Desafortunadament, la part més vulnerable en un sistema de seguretat no correspon a un error ocult en el codi informàtic, sinó a una persona que no comprova la procedència d’un correu electrònic. El phishing tracta de manipular a la víctima i fer que revelin informació personal.
El canal més recurrent per a aquesta pràctica són els correus electrònics, que faciliten l’engany, elaborant correus que semblen procedir de fonts fiables, com ara bancs, companyies d’assegurances, d’energia, etc.
El phishing és la forma més senzilla del ciberatac i al mateix temps, la més perillosa i efectiva. Si vols evitar qualsevol mena de phishing, contacta amb nosaltres i t’aconsellarem.