capcalera_retall.png

Com a complement de les mesures de seguretat que vam publicar relatives a la protecció dels atacs de phishing i ransomware, volem informar-vos dels atacs, cada dia més freqüents, relatius a intents de frau i estafa.

Aquests atacs fan servir diferents mitjans, a més del correu electrònic, com ara WhatsApp, SMS o trucades telefòniques, i fan servir tècniques d'enginyeria social (premis inesperats, ofertes especialment atractives, transmetre una sensació d'urgència) per intentar enganyar-vos i així accedir a les vostres dades personals, dades bancàries, o, directament, estafar-vos.

Altres característiques comunes que presenten aquests tipus d'estafes són:

  • Pel que fa a missatges SMS, els atacants poden usar mecanismes per fer que els seus missatges semblin provenir d'origens legítims (el que es coneix com spoofing), com ara organismes oficials o entitats bancàries. Això és especialment perillós, perquè aquests missatges s'agruparan juntament amb missatges legítims.
  • Poden usar el protocol http, que no és segur.
  • Els enllaços apuntaran cap a dominis que no coneixeu, o bé seran enllaços escurçats, com https://scur.cat/DFEDCA.
  • Us informaran que heu aconseguit alguna cosa molt positiva (un premi, una oferta laboral,...) o que ha ocorregut un esdeveniment que requereix de la vostra atenció urgent (es bloquejarà el vostre compte bancari, heu efectuat una transacció que no reconeixeu...).
  • Poden estar redactats en idiomes que no utilitzau habitualment.

A continuació, us exposarem alguns exemples de missatges fraudulents, destacant les característiques que us haurien de fer sospitar d'ells:

  • Missatges de proveïdors de logística i transport.

Aquest missatges simulen informar-vos que teniu a la vostra disposició un paquet que no esperau, però que, pel motiu que sigui, no us el poden entregar. Habitualment inclouran un enllaç cap a dominis desconeguts, i que no pertanyen a empreses de transport, on intentaran que navegueu.

estafes_missatgeria_paquets_retall.jpg

misstgeria_2_retall.jpg
  • Missatges de bancs i entitats financeres.

Aquests missatges habitualment fan ús de la tècnica d'informar-vos d'esdeveniments que requereixen de la vostra atenció urgent, com a bloqueig de comptes, que els vostres comptes són insegurs o bé que s'han produït moviments que no heu realitzat vosaltres. És especialment preocupant que es poden agrupar juntament amb missatges que són legítims, com missatges de segon factor d'autenticació, per exemple. Els dominis dels enllaços que hi inclouen intentaran assemblar-se als dominis reals de les entitats bancàries, però una cerca ràpida a Internet us permetrà detectar que no són els correctes.

bancs_retall.jpeg

bancs_2_retall.jpg

Bancs_bo_dolent_retall.jpg

  • Missatges que ofereixen una feina o treball.

Aquests missatges provenen, en general, d'origens desconeguts, i poden estar redactats en idiomes que no utilitzau habitualment. Alguns d'ells comencen per un missatge de prova, i si el responeu, aleshores ja començareu a rebre missatges amb intents d'estafa.

missatges_treball_retall.jpg
  • Missatges que informen sobre premis que hauríeu guanyat.

Com en casos anteriors, aquests missatges usen la tècnica d'informar-vos que heu aconseguit un premi molt atractiu que no esperàveu, i que heu d'actuar amb urgència si el voleu aconseguir.

premis_retall.jpg

Per tant, us volem recomanar aquestes mesures de seguretat:

1. Manteniu-vos alerta. Si rebeu missatges no esperats o trucades no sol·licitades, o bé us arriben en un idioma que no utilitzau habitualment o amb faltes ortogràfiques òbvies, ignoreu-los i no els responeu. No proporcioneu mai informació personal (ni tampoc secrets bancaris o d'altres dades sensibles), ni efectueu cap acció que us demanin sense verificar prèviament l'autenticitat de l'origen de la comunicació (per exemple, contactant amb l'entitat presumptament emissora).

2. Activau l'autenticació de doble factor (2FA). Sempre que els serveis que utilitzau ho permetin, habiliteu l'autenticació en dues passes, ja sigui emprant el correu electrònic, missatges d'SMS o bé serveis d'autenticació com ara Google Authenticator.

3. No seguiu cap enllaç. Com a norma general, no heu de seguir mai cap enllaç que us proposin a un missatge sense abans verificar que aquest missatge sigui legítim. En darrer extrem, si heu seguit l'enllaç, verificau la identitat del propietari del lloc web, fent clic al pany de la barra de navegació i comprovant que el domini de l'enllaç és el correcte (els navegadors el solen destacar de la resta de l'adreça). D'altra banda, desconfieu dels enllaços escurçats, i mai no seguiu enllaços que usin el protocol http, que no és segur.

barra_navegacio.png

Els dominis dels enllaços que us proporcionaran es podrien assemblar als noms reals de les entitats, utilitzant tota una sèrie de tècniques, entre les quals podem destacar:

Substitucions de lletres per d'altres lletres, números o símbols gràficament similars

 calb.es / ca1b.es
Usar el nom legítim com a component d'un nom no legítim caib.prova.es
Usar noms similars al nom de domini legítim caib-es.es

En cas de dubte, es pot fer una cerca a Internet per a determinar quin és el domini normal de l'organització i així validar si el domini de l'enllaç és legítim.

4. Comuniqueu els intents d'estafa. Si rebeu un intent d'estafa, comuniqueu aquest fet a les persones del vostre entorn per evitar que ells puguin caure en l'estafa, als vostres tècnics informàtics o el personal del servei de Seguretat de la Informació, o bé als diferents grups de delictes telemàtics de les Forces i Cossos de Seguretat de l'Estat, com ara el de la Guàrdia Civil.
Per a ampliar aquesta informació, podeu consultar les pàgines publicades per l'Institut Nacional de CiberSeguretat (INCIBE).
warning_petit.png

Recordau que el factor humà és l'esglaó més feble de la cadena de la ciberseguretat.

La vostra col·laboració és vital per lluitar contra la ciberdelinqüència!