Què és l'smishing, el vishing i l'spoofing: alerten dels mètodes per robar online

Amb la consolidació de la banca mòbil i a distància, s'han multiplicat les oportunitats que tenen els ciberdelinqüents d'accedir als nostres diners o informació de manera fraudulenta.

Sovint aquests delictes es cometen quan les oficines bancàries estan tancades --a la nit o en cap de setmana-- perquè així la víctima ho té més complicat per posar-s'hi en contacte  i protegir-se contra l'atac. A més, la navegació amb la pantalla del mòbil, on les icones són més petites i les adreces web no són tan visibles, fa més difícil detectar les imitacions.

Segons quina sigui la tàctica emprada, el delicte té un nom o un altre.
 

Smishing

Quan el ciberdelinqüent intenta robar la informació a través d'un SMS, és smishing.

El mecanisme és el següent: rebem un missatge al telèfon mòbil que sembla que ens l'enviï la nostra entitat bancària. El missatge pot arribar dins el grup de missatges antics que hem rebut del nostre banc i, per tant, no genera sospites. Però és fals, l'envia el ciberdelinqüent.

El missatge de smishing sol alertar sobre un moviment sospitós al nostre compte: un pagament, un cobrament o que algú hi ha intentat entrar sense el nostre consentiment. Aquest SMS té un enllaç a internet. Si cliquem en aquest enllaç, ens dirigirà a una pantalla que, tot i que sembli que és de la nostra entitat bancària, no ho és. És una pàgina clonada que està en mans dels ciberdelinqüents.

Perquè el robatori sigui un èxit, cal que la víctima no detecti que la pàgina on ha anat a parar és falsa. Un cop dins d'aquesta pàgina falsa, ens demanaran la contrasenya del nostre compte bancari. Si li donem aquestes dades, el lladre podrà anar a la pàgina autèntica del banc i buidar el compte.

Altres vegades, l'enllaç, en comptes de dur-nos a una pàgina clonada del nostre banc, facilita la descàrrega de malware al nostre telèfon. Un programa maliciós s'activarà la següent vegada que entrem a l'entitat bancària i ens robarà la nostra informació privada.

Vishing

Quan el delinqüent ens truca per telèfon i es fa passar per un treballador del banc, es tracta de vishing, que és la combinació de les paraules "veu" i "phishing".

El delinqüent fa creure a la víctima que hi ha hagut un error en la gestió dels seus diners i li demana la contrasenya o bé li diu que li enviarà un missatge per recollir les seves dades.

A vegades, el lladre també es pot fer passar per un tècnic informàtic o per un operador de la companyia telefònica que ens ofereix el servei.

Una altra manera de fer vishing és fent-se passar per una persona interessada en un article que la víctima ha publicat en una plataforma de venda d'articles de segona mà. En tots els casos, es tracta d'obtenir la confiança de la víctima per després fer-li creure que necessita les seves dades.
 

Phishing

És el sistema de captació de dades fraudulent més antic i habitual. En anglès i escrit "fishing", vol dir "pescant". La paraula s'utilitza des dels anys 90.

A través d'un mail que sembla que vingui d'una empresa de confiança, ens envien a una pàgina que imita la de l'empresa però que no ho és i des d'allà ens demanaran les dades privades: contrasenyes o números de targeta de crèdit. A través d'aquests mails, també ens podrien enviar programes maliciosos que s'instal·larien al nostre ordinador o telèfon mòbil.

El millor és no obrir un correu que sigui sospitós, però si ja l'hem obert és molt important no descarregar cap adjunt ni clicar a l'enllaç que ens estan enviant. Per confirmar o desmentir si ens trobem davant d'un intent de frau, ens hem de posar en contacte amb l'empresa que suposadament l'enviava i preguntar-los si s'han intentat posar en contacte amb nosaltres.

Fa uns anys, aquests intents d'estafa es podien detectar fàcilment perquè els correus electrònics estaven redactats de manera matussera i amb faltes, però això ja no és així i cada cop són més versemblants.
 

Spoofing

Quan el ciberdelinqüent emmascara l'origen de la seva comunicació se'n diu spoofing i té moltes variants. L'spoofing telefònic consisteix a fer una trucada que al nostre mòbil es mostrarà com si fos una trucada local o de confiança però que en veritat ve d'un ciberdelinqüent i molt possiblement d'un altre país. Un cop més, a través d'aquesta trucada, el ciberdelinqüent mira de convèncer la víctima que necessita les seves dades privades o que visiti una pàgina web fraudulenta.

L'spoofing també es pot fer amb adreces IP, que són les matrícules que tenen cadascun dels ordinadors que naveguen per internet. Si es fa un spoofing d'IP, el nostre ordinador pot creure que l'ordinador del ciberdelinqüent és de confiança i es descarrega software maliciós sense demanar-nos l'aprovació.
 

Estafes per WhatsApp

L'èxit de WhatsApp com a plataforma de comunicació també ha atret els ciberdelinqüents. En aquest cas, un desconegut es pot posar en contacte amb nosaltres fent-se passar per un conegut nostre dient que ha canviat de número.

En aquest cas, un cop el delinqüent veu que té la confiança de la víctima, li envia un SMS fraudulent (smishing) o bé li demana diners d'alguna altra manera. A través de WhatsApp també ens poden mirar d'enganyar dient que tenim un paquet enviat per missatger i que necessiten les nostres dades si el volem anar a recollir. 
 

Hacking

Tots aquests sistemes difereixen del hacking en el sentit que quan el nostre compte ha estat hackejat vol dir que un robot ha intentat endevinar la contrasenya amb una successió molt ràpida de combinacions. Si la nostra contrasenya és molt complicada, li posem les coses més difícils a aquest robot. Una altra manera que poden tenir els ciberdelinqüents d'aconseguir la nostra contrasenya és investigant la informació que tenim publicada a les xarxes socials.

Per exemple: si la nostra contrasenya és el nom d'algun dels nostres fills i la seva data de naixement, és possible que aquesta contrasenya es pugui deduir de les nostres publicacions a les xarxes socials. En aquest cas, el hacking es fa pel que es coneix com enginyeria social.