El passat mes de setembre, Nominalia va ser advertida sobre una campanya de Phishing en què els atacants van suplantar la seva identitat per intentar fer-se amb dades personals dels seus usuaris. És per això que volem dedicar aquesta entrada al phishing, per entendre en què consisteix aquesta tècnica de cibercrim i quines mesures prendre per protegir-nos davant de possibles atacs.
Què és el phishing o la suplantació d'identitat
El terme «Phishing» és l'adaptació a l'argot informàtic del verb anglès “fishing”, que en aquesta accepció equivaldria a pescar en el sentit daconseguir o aconseguir alguna cosa astutament.
En aquest sentit, el phishing es refereix a la pràctica electrònica fraudulenta que consisteix a enviar missatges de correu electrònic fingint ser una empresa o entitat de confiança —raó per la qual també se'l coneix com a suplantació d'identitat— per, en general, induir a la persona destinatària a revelar dades personals, com ara contrasenyes o números de targeta.
Per enganyar els usuaris i fer-los pensar que la pàgina o missatge falsejat és autèntic, els cibercriminals manipulen els enllaços, fan servir tècniques com enviar imatges que poden esquivar filtres de seguretat i falsifiquen pàgines web.
Com detectar un correu fraudulent
Més enllà d'aconseguir un número de targeta de crèdit, aquesta categoria de frau electrònic pot tenir molts objectius, des d'accedir a informació confidencial fins a instal·lar codi maliciós (malware) en el sistema de la víctima, de manera que l'aspecte de cada atac és diferent.
Amb tot, podríem dir que hi ha certs atributs comuns a molts d'aquests intents:
Mala presentació
Els suplantadors d'identitat confien en les presses i en la poca atenció de les persones, que solen refiar-se de noms que «els sonen». Per això, encara que no sempre és així, moltes vegades els missatges tenen un aspecte descuidat, estan mal redactats i fins i tot contenen faltes gramaticals i d'ortografia.
Vaguetat
Atès que aquest tipus de missatges se sol enviar en massa, veurem que el nostre nom i altres dades identificatives (com ara número de compte o client, data de contracte, etc.) no consten enlloc, són deliberadament ambigus (per exemple: «el teu contracte caduca a final de mes» en comptes de «el teu contracte caduca el 15/06/2019» o són directament falsos.
Fitxers adjunts i enllaços estranys
En aquests missatges, el destinatari sol demanar-nos que punxem en un link «rar» o que no és segur, és a dir que, en lloc de fer servir HTTPS, utilitza HTTP (encara que també és possible que amaguin l'enllaç veritable utilitzant hipertext: per comprovar si el link que veiem correspon a la direcció a la qual redirigeix, hem de passar el ratolí per sobre, per veure la pàgina d'aterratge).
D'altra banda, el missatge ens pot demanar que obrim documents que no hem sol·licitat o que no sabem què són. Molts cops, aquests fitxers tenen una extensió «estranya» (no són el típic .docx o PDF), ja que contenen virus o programes maliciosos.
Remitent desconegut o mal escrit
Les alarmes s'han de disparar quan rebem un missatge d'algú que no coneixem, tant els més inversemblants com els que sonen més creïbles a priori. Això és així perquè moltes vegades els estafadors utilitzen noms molt semblants als reals, per exemple, info@nominala.com (el domini és tan semblant al de nominalia.com que, si no es llegeix amb deteniment, és fàcil passar per alt que li falta una i).
També utilitzen trucs més sofisticats per camuflar els noms: pot ser que adreces idèntiques a la vista condueixin a llocs diferents. Per exemple, domini.com y dοminiο.com semblen iguals; no obstant això, al segon, les lletres o s'han substituït per la lletra grega òmicron, que els ordinadors llegeixen totalment diferent.
Precaucions per reconèixer estafes per internet
Per tot això, per evitar caure al parany dels correus de phishing, és recomanable tenir presents els punts següents:
- Instal·lar programes de seguretat en línia. La majoria de proveïdors de correu tenen filtres antispam de sèrie, però afegir un altre d'algun proveïdor especialitzat pot ajudar a bloquejar millor aquests missatges fraudulents. A més, per cuidar-nos en el cas que el correu arribi a la nostra safata, és imprescindible comptar amb un bon antivirus, spyware i tallafocs. Tot i que no són infal·libles, defensaran el nostre ordinador en cas que arribem a descarregar arxius maliciosos i el protegiran de pàgines falses comprovant el certificat de seguretat.
- No obriu mai fitxers adjunts que no coneguem o semblin sospitosos.
- No punxar en enllaços de missatges que no hàgim sol·licitat; en cas de dubte, el millor és escriure manualment la direcció i iniciar sessió a la pàgina en qüestió.
- No facilitar mai dades personals com a números de compte o targeta de crèdit per email. També és bona idea tenir diverses adreces de correu electrònic i ser previngut a lhora de publicar-les.
- Comprovar que el número de telèfon de lempresa és realment el que posen al missatge abans de trucar.
Mesures antiphising a Nominalia
A Nominalia ens prenem molt seriosament la seguretat en línia; per aquest motiu, després del passat incident, hem extremat les mesures instal·lant nous certificats SSL de Validació Estesa o Extended Validation (EV) per validar els accessos als nostres sistemes.
Les pàgines de Nominalia sempre han comptat amb certificats SSL, una cosa imprescindible en pàgines on hi ha transacció de dades, ja que permet xifrar les comunicacions i autenticar la identitat de la web (els usuaris poden saber si un lloc web té o no un certificat SSL vàlid comprovant que el nom de domini està precedit de «HTTPS» a la barra de navegació).
Però ara, a més, el Panell de Control i Webmail de Nominalia compten amb el certificat SSL de validació màxima, que proporciona un alt grau de confiança, ja que per aconseguir-ho, Autoritat de Certificació ha de fer una sèrie de verificacions exhaustives.
Aquesta protecció és altament visible: la barra de la URL es torna verd i especifica el nom de lempresa, juntament amb una icona de cadenat. Aquest és, doncs, el millor mètode per saber en tot moment que estem visitant una pàgina segura.
Si t'interessa aplicar aquesta mesura a la teva pàgina web, però no saps com instal·lar el certificat SSL, els nostres tècnics poden fer-ho per tu.
Què fer si sospitem que un correu és phishing
Per acabar, una breu llista sobre com procedir si detectem un correu de phishing:
- Esborrar-ho.
- Si treballem per compte d'altri: avisar l'equip informàtic.
- Avisar l'empresa o l'entitat suplantada mitjançant el servei d'atenció al client o les xarxes socials perquè pugui advertir els clients.
- Avisar la policia.
Si hem clicat a l'enllaç o descarregat el fitxer i hem facilitat les nostres dades, és fonamental que accedim al servei en qüestió (si pot ser, des d'un altre ordinador) i canviem la contrasenya. De la mateixa manera, haurem de comprovar els nostres extractes bancaris i anul·lar qualsevol transacció il·lícita.