La ciberdelinqüència va en augment des de l'inici de la pandèmia: La Policia ha bloquejat aquest 16 d'abril 46 dominis web sobre el coronavirus sospitosos d'activitats il·lícites. En aquesta entrada veiem breument com els estafadors digitals estan aprofitant l'ocasió per llançar programari maliciós i phishing, i quines mesures de seguretat prendre.
El confinament per frenar la propagació de la COVID-19 ha disparat l'ús de les noves tecnologies, tant entre particulars com en el marc professional, ja que un gran nombre de persones han estat obligades de la nit al dia a treballar des de casa .
Davant la situació de desconcert, els ciberdelinqüents estan aprofitant per llançar tota mena de campanyes massives de Phishing relacionades amb la pandèmia, com a falses sol·licituds de donatius o rumors que es difonen per les xarxes, fins al punt que les dades del Centre Criptològic Nacional constaten que els ciberatacs a organitzacions i ciutadans han augmentat un 75% durant el període de reclusió.
Què és el phishing i com aconsegueixen que piquem?
Els delinqüents es basen en la manipulació psicològica per obtenir la informació que desitgen sense haver-nos de treure per força. És a dir que, en lloc de piratejar un compte, es valen de la curiositat, la por o altres reaccions basades en la confiança per enganyar les persones i aconseguir que elles mateixes facilitin la contrasenya o les dades.
És el que s'ha anomenat enginyeria social o Phishing (De l'anglès pesca o pescar): els pirates informàtics es fan passar per una altra persona o entitat —moltes vegades remitents coneguts, organismes internacionals, administracions públiques, etc.— i llancen la canya —un correu electrònic amb un arxiu enganyós o un missatge de WhatsApp amb un enllaç a una pàgina fraudulenta— amb l'esperança que una víctima mossegui l'ham.
Aquests dies veiem infinitat de campanyes d'aquest tipus. A més dels usuals missatges sobre el lliurament d'un paquet inexistent o dels que diuen avisar de multes de la DGT, des de fa unes setmanes s'estan multiplicant les estafes relacionades amb el coronavirus, com una pretesa recaptació de fons per a l'OMS o per a Càritas , o aplicacions malicioses com a mapa que suposadament permet seguir l'evolució de la malaltia.
El modus operandi dels ciberestafadors és molt semblant: creen anuncis o pàgines falses, però que semblen genuïns i de total confiança, perquè hi cliquem i seguim les seves instruccions. La vostra intenció? Infectar amb malware el nostre dispositiu, sol·licitar-nos dades com les credencials bancàries o claus personals, o, més generalment, aconseguir que transferim una quantitat de diners.
Exemples de bulls i fraus que utilitzen la COVID-19 com a excusa
Al lloc de l'Oficina de Seguretat de l'Internauta (OSI) es pot trobar un llistat actualitzat de les amenaces conegudes.
Els ciberdelinqüents estan traient partit constantment dels esdeveniments d'actualitat, per exemple, demanant donacions per a la investigació d'una vacuna que no existeix. També s'han identificat diversos enganys a WhatsApp, on es fa creure que Netflix està oferint comptes de franc durant la quarantena o que diversos supermercats s'han unit per repartir ajudes alimentàries. A països com els Estats Units fins i tot s'ha detectat un intent de suplantar un organisme governamental per convèncer els usuaris que estan concedint cupons per menjar.
Tot i això, els ciberatacs no es limiten a l'àmbit particular. La Policia Nacional ha advertit d'una campanya de pesca contra personal sanitari aprofitant la crisi del coronavirus. L'atac es distribueix per correus electrònics amb un adjunt titulat CORONAVIRUS_COVID-19.vbs que descarrega el ransomware NetWalker, un virus que xifra les dades de les víctimes i demana un rescat econòmic per poder tornar a accedir a la informació.
Amb el teletreball en plena marxa, també se n'ha detectat una campanya d'enviament d'emails que suplanten diverses empreses, aprofitant les notícies i els canvis que s'estan produint a conseqüència de la pandèmia: per exemple, incloent-hi la paraula ERTE als missatges maliciosos per captar l'atenció.
Un altre exemple és un enviament massiu per correu electrònic en què se suplanta la Seguretat Social i la Inspecció de Treball. El missatge avisa l'empleat que l'empresa està investigant per no respectar la normativa de l'estat d'alarma i proporciona un enllaç per veure la suposada denúncia, que redirigeix automàticament a una web maliciosa.
En el context actual, cal esperar que incrementin les estafes que utilitzen l'enginyeria social, com a l'anomenat estafa del CEO: el comptable de l'empresa (o un empleat amb capacitat per fer transferències o amb accés a les dades dels comptes) rep un correu, suposadament del seu cap, on se li demana ajuda per efectuar una transferència urgent. En casos sofisticats, els defraudadors poden fins i tot espiar prèviament aquests «peixos grossos» i arribar a robar les credencials dels alts càrrecs per enviar el missatge des del compte de correu del mateix CEO, director o president.
Com evitar el phishing?
D'acord amb l'Institut Nacional de Ciberseguretat (INCIBE), ara, més que mai, cal vigilar els missatges que rebem i les pàgines que visitem, sobretot quan ens demanin compartir dades i prendre decisions ràpidament.
Cal tenir en compte que només d'accedir a una pàgina es pot lliurar informació personal com l'adreça de correu electrònic, la geolocalització o el model de dispositiu, entre altres dades sensibles.
Per evitar caure en estafes d'aquest tipus, les recomanacions principals són:
- Prendre's el temps que sigui necessari per analitzar la situació i no compartir mai dades confidencials com a contrasenyes.
- No obriu enllaços ni descarregueu fitxers adjunts sense fixar-vos en l'extensió i només dels que provinguin de fonts segures.
- No fiar-se d'un missatge només perquè porti un logotip conegut ni confiar sense més ni més en el nom del remitent. Encara que procedeixi d'un contacte conegut, si sol·licita informació fora del comú, cal comprovar-ho.
- Comprovar l'adreça URL a la qual se'ns convida a accedir-hi. És la correcta? (Pots fer servir el servei gratuït de VirusTotal per escanejar la pàgina).
- Mantenir actualitzat el sistema operatiu, el navegador i les aplicacions.
- Instal·lar, configurar i mantenir actualitzats filtres antispam i un bon antivirus.
- Desactivar la vista de correus en HTML als comptes crítics.
- Dubtar de missatges amb errors gramaticals o d'ortografia i dels que amenacen de tallar-nos un servei si no actualitzem les nostres dades.
- Sospitar de promocions i premis (sobre els que són «massa bons per ser veritat») que arriben per serveis de missatgeria i no per canals oficials. Comprovar als llocs oficials de les empreses si aquesta campanya existeix o no.
- Fer una cerca a Internet per corroborar si altres persones han compartit queixes o alertes sobre el missatge.
Algunes mesures per pal·liar les conseqüències d'una possible filtració a causa de pesca:
- Establir procediments segurs per fer pagaments, de manera que s'impliqui més d'una persona, per exemple, mitjançant la doble verificació.
- Posar en marxa processos de monitorització de marca per controlar que ningú no està suplantant la nostra identitat amb fins il·lícits, la qual cosa podria danyar irremeiablement la nostra imatge. Ubilibet, l'empresa associada de Nominalia, ofereix per exemple un servei de protecció de marca integral que avisa si algú vol registrar una altra extensió amb el nostre nom de domini.
- Controlar periòdicament els moviments dels comptes bancaris.
Davant de qualsevol dubte, pots trucar al 017, la línia telefònica gratuïta d'ajuda a #ciberseguretat de l'INCIBE.