Butlletins de l'Oficina de Seguretat

Servei de Salut de les Illes Balears (Ibsalut)

Butlletí núm. 118: Què és el phishing, com identificar-lo i com evitar-lo

Introducció

El phishing, la pesca, és un terme anglès referit a un tipus comú de ciberatac dirigit majoritàriament a les persones mitjançant correu electrònic, missatges de text, trucades telefòniques i altres formes de comunicació, que cerca enganyar el destinatari de la comunicació amb l’objectiu que aquest faci alguna acció encaminada a revelar dades personals, bancàries, credencials d’accés i qualsevol altra informació sensible que el ciberdelinqüent pugui fer servir per lucrar-se o provocar un dany.

 

Enginyeria social

Aquest tipus de ciberatac en l’actualitat és un dels tipus més populars dels anomenats d’enginyeria social ja que s’aprofiten de la manipulació psicològica i l’engany, i abusen de la bona fe i el desconeixement dels usuaris.

 

Aquests ciberatacs ja són tan comuns que els ciberdelinqüents poden posar en circulació missatges amb facilitat, la majoria de les vegades en forma de correu electrònic, i suplantar la identitat d’empreses i organitzacions. En aquests missatges principalment demanen a l’usuari que accedeixi a un enllaç o es descarregui algun tipus de fitxer maliciós.

 

Tipus més comuns de pesca

Com ja hem dit, els missatges de pesca poden suplantar qualsevol tipus d’empresa o servei. En l’actualitat els casos més freqüents són els següents:

  • Pesca bancària: se suplanta una entitat financera legítima i s’intenta obtenir informació de l’usuari mitjançant excuses com bloquejos del compte o càrrecs.
  • Pesca a entitats públiques: se suplanten entitats i organismes públics a través del correu electrònic amb un pretext qualsevol, com una devolució d’imposts o multes de trànsit.
  • Pesca a entitats privades: es capta l’atenció dels usuaris amb assumptes i missatges que apel·len en moltes ocasions als sentiments.

 

Suplantant empreses o serveis en les quals els usuaris confien o per mitjà de missatges que puguin provocar una alteració de l’estat de la persona s’aconsegueix que l’usuari realitzi l’acció pretesa i s’obtenen claus d’accés i informació confidencial. A més, els ciberdelinqüents també poden instal·lar programes maliciosos per accedir remotament als dispositius dels usuaris i cometre les accions amb què lucrar-se o provocar danys.

 

Característiques per identificar i evitar la pesca

Si es tenen en compte aquestes característiques es poden identificar els missatges de pesca i tenir segura la informació.

  • El remitent és desconegut o, en cas d’estar associat a una empresa o organització, té algun error d’escriptura.
  • Freqüentment el text té errors gramaticals i ortogràfics.
  • Es reclamen dades que no són freqüents, com contrasenyes, PIN, DNI, etc.
  • Contenen enllaços a pàgines web falses o malicioses o arxius adjunts amb programari maliciós o virus.
  • Normalment són missatges amb urgència, per tal de prendre mesures ràpides i no raonades perquè la persona no tengui temps de fixar-se en les accions que està realitzant.

 

Per tal d’evitar ser víctima d’un ciberatac es poden realitzar les següents accions i així impedir que els ciberdelinqüents s’aprofitin de la nostra informació.

  • No obriu correus que no hàgiu demanat o en els quals no conegueu el remitent. Eliminau-los i bloquejau-los.
  • No contesteu mai a aquest tipus de correus ni proporcioneu informació personal.
  • Manteniu actualitzats els dispositius i programes.
  • Abans de proporcionar qualsevol informació confidencial verificau qui us ha enviat el missatge.
  • No cliqueu en enllaços que us hagin facilitat sense verificar el lloc web.
  • No descarregueu fitxers adjunts si desconfiau ja que podrien ser maliciosos.
  • Utilitzau programari de seguretat actualitzat, com un antivirus, per protegir-vos.
  • Activau l’autenticació de dos factors sempre que un servei en línia ho permeti.

 

Víctima de pesca

Si desafortunadament heu estat víctima de pesca heu de realitzar una sèrie d’accions per evitar danys majors.

  • Modificau les contrasenyes dels comptes que hàgiu proporcionat i també dels comptes que usin la mateixa informació.
  • Escanejau el seu dispositiu amb un antivirus si heu clicat en un enllaç o si heu descarregat un arxiu que no coneixeu.
  • Si heu facilitat dades bancàries és molt important que ho comuniqueu a la vostra entitat bancària immediatament.

 

A més, vigilau regularment la informació pròpia que circula a internet per tal de controlar la informació sobre vós i també exercir els vostres drets si trobau dades que s’estan fent servir sense el vostre consentiment. També és molt important compartir tota la informació i experiència amb els familiars i amics per tal d’ajudar-los a evitar caure en les mateixes trampes.

 

Recursos i informació addicional

Per obtenir més informació sobre la pesca i les accions d’enginyeria social podeu accedir als següents recursos de l’Institut Nacional de Ciberseguretat (INCIBE):