Després de la publicitat pots interactuar amb el player amb els següents botons Instruccions per interactuar amb el player
La tarda de Catalunya Ràdio

Stop phishing: 4 consells infal·libles perquè no et robin dades ni calés

Hi ha webs molt fàcils d'utilitzar que permeten comprovar si els arxius i els correus que rebem al mòbil sospitosos són malignes o no

Actualitzat

Cada setmana rebem a les nostres pantalles un correu de phishing o un SMS de smishing que es fa passar per un banc, empresa o organisme per intentar robar-nos dades i diners.

El sistema sempre sol ser el mateix: ens alerten d'alguna anomalia i ens animen a clicar en algun enllaç, facilitar dades bancàries o a baixar-nos algun fitxer enverinat. Com detectar-los i evitar-los? I per què estan tan perfeccionats?

Xavier Ibarz, del Grup Central de Proximitat i Relacions amb la Comunitat dels Mossos, i Bruno Pérez, pèrit judicial expert en ciberseguretat, ho tenen molt clar: els estafadors saben afinar perfectament en els seus missatges i els poden personalitzar moltíssim perquè, de fet, nosaltres mateixos els hi posem en safata: ho expliquem tot de nosaltres a les xarxes.

Stop Phishing: quatre consells infal·libles per evitar que ens robin dades i calés a través del mòbil
Intent de phishing simulant Booking

Discreció sempre i a tot arreu

Evitar que ens enredin comença amb els hàbits del nostre dia a dia, amb el nostre comportament a les xarxes. Tendim a portar fotos del DNI a la nostra parcel·la del núvol, o a donar dades privades per telèfon. I tot això, recorda Pérez, és més perillós del que sembla:

"Quan vaig en tren i sento algú que li diu a l'altre per telèfon "Compra'm un bitllet" i li comença a cantar el DNI en veu alta... Uf, no ho feu mai, això. Compte amb la intimitat de la trucada per telèfon, no saps mai qui t'escolta.

Els estafadors saben afinar perfectament en els seus missatges. I és molt fàcil per a ells. Els personalitzen molt perquè ho expliquem tot de nosaltres a la xarxa".

Stop Phishing: quatre consells infal·libles per evitar que ens robin dades i calés a través del mòbil
Compte amb el que expliquem per telèfon

De fet, l'exposició de les nostres dades i hàbits, juntament amb un perfeccionament de les eines dels estafadors, ha permès la creació d'esquers molt ben trobats, fins i tot pel que fa a la llengua, com recorda Ibarz, començant per l'ús cada cop més habitual del català:

"Els estafadors han millorat moltíssim per fer-se propers. Ara ja envien missatges amb un català perfecte".

No tinguem pressa a respondre

Segons Pérez, hem de procurar estar atents al que estem fent. No fem gestions amb el mòbil mentre estem comprant el peix al mercat:

"Els ciberdelinqüents s'aprofiten que no sabem com gestionar la informació. Fixeu-vos en el que feu. Quan tu contestis correus electrònics has d'estar centrat. Tingues en compte que treballes amb protocols de correu i SMS que no són segurs".

Ibarz hi afegeix un altre factor: que els missatges juguen amb les emocions i la incertesa. A ningú li agrada rebre un missatge del banc dient que tenim un descobert en un compte.

"Els estafadors juguen amb el factor por o pressa per enredar la víctima, sobretot quan es fan passar per una entitat bancària".

Un dels oients de la "La tarda", la Teresa, es va trobar amb el següent: el seu home, a punt d'entrar a l'hospital per ser operat, va rebre un SMS fent-se passar per la seva entitat d'estalvis advertint-lo de la urgència d'activar un número o, si no, li bloquejarien el compte corrent.

L'home es va estressar i va clicar l'enllaç maligne. Resultat: al cap de no res algú estava fent compres amb la seva targeta des de França. Més de 1.000 euros dels quals l'entitat bancària no es va fer mai responsable.

En aquest cas, Pérez considera que els bancs no se'n poden rentar les mans:

"El que no pot ser és deixar les persones indefenses. Si els clients d'un banc treballen digitalment és perquè l'entitat els hi obliga. Per fer una transferència, ells són els custodis dels teus diners i ells en tenen la responsabilitat. Se'ls ha de fotre canya perquè la gent queda indefensa".

Stop Phishing: quatre consells infal·libles per evitar que ens robin dades i calés a través del mòbil
Advertència dels Mossos d'estafa de phishing (Twitter)

Fes memòria: una badada avui pot ser una trampa demà

Un altre factor important: un banc no et demanarà mai les dades fora dels seus canals oficials. Però fins i tot així cal vigilar.

Un altre oient de "La tarda", en Sebastià, va trucar a un suposat telèfon del banc que li apareixia a la web per donar d'alta la targeta de crèdit. Va donar les dades i al cap de quatre dies li van volar 8.000 euros. I el banc no en sabia res. Què havia passat?

Stop Phishing: quatre consells infal·libles per evitar que ens robin dades i calés a través del mòbil
Les dades de les targetes, el gran objectiu

Ibarz i Pérez estan força convençuts que, en aquest cas, es va fer una "clonació de la pàgina". En Sebastià va clicar a una pàgina falsa.

Com s'ho van fer els lladres? Molt possiblement l'origen de tot plegat s'explica perquè dies enrere la víctima devia clicar alguna adreça o arxiu maligne que li va activar la pàgina falsa amb un número fals.

Dues eines per verificar enllaços

A última hora, si tenim davant nostre un missatge sospitós, tenim més d'una eina per saber-ne l'origen. Per començar, posar el pilot automàtic i "posar en dubte tots els missatges que no estem esperant, com ara un banc que no és el nostre o un paquet que no esperem", recorda Ibarz:

"Podem verificar amb el nostre banc si ens han enviat el missatge, però mai fer-ho amb el número o l'enllaç que aporta el correu maligne, sinó fer-ho amb els canals oficials i coneguts de l'entitat. I en tot cas, recordeu: el banc mai ens demanarà per mail les claus o els pins d'usuari. Com a molt te'n poden demanar una part".

Pérez recorda que, al capdavall, l'objectiu final dels estafadors és que obrim un fitxer o un enllaç. Per tant, també podem fer servir eines de les mateixes xarxes per verificar els enllaços. L'expert en ciberseguretat en destaca dues:


1. Browserling

Un navegador posat dins del que es coneix com una "sandbox":

"Amb el Browserling el que fas és executar l'enllaç a l'ordinador d'un altre. Allà hi poses l'adreça que et dona el mail o l'SMS i allà comproves on va. Una 'sandbox' és una capsa de sorra, és on proves els malwares sense riscos".

2. Virustotal.com

Permet fer un check per comprovar l'origen de la URL però també d'arxius sospitosos:

"Amb Virustotal.com li envies el fitxer i li dius: "Ei, això ho coneixes?", i ell ja et diu si el coneix o si és dolent".

Stop Phishing: quatre consells infal·libles per evitar que ens robin dades i calés a través del mòbil
Web de "La tarda" analitzat a Virustotal: estem nets
ÀUDIOS RELACIONATS
Anar al contingut