Què és el “Phishing”?
El Phishing és una de les tècniques de ciberatac dins de l’enginyeria social, de la qual parlem al TIP de la setmana anterior.
El terme “Phishing” deriva de la paraula “pescar” en anglès i està sempre relacionat amb la captació de dades i informació a través de l’ús del correu electrònic per cometre aquest delicte informàtic.
Així és que, mitjançant aquesta tècnica, el cibercriminal llançarà de forma aleatori diferents Usuaris, professionals i particulars, comunicacions falses o d’estafa per correu electrònic.
En aquestes comunicacions, el més habitual és que se suplanti la identitat d’un contacte de confiança, ja sigui algú proper (cap, familiar, amic o amic) o una entitat important (banc, administració pública, asseguradora).
També pot estar relacionat amb la verificació de falsos inicis de sessió a plataformes (per exemple, Amazon, Facebook, Netflix, etc.) o sol·licitud de canvis de contrasenya.
Amb això s’aconsegueix que l’Usuari@ que rep l’e-mail no sospiti de la seva falsedat i cometi un error com descarregar un fitxer, punxar en un enllaç, facilitar dades o iniciar sessió a través d’una pàgina web falsa (“Pharming”, en parlarem en un TIP específic, més endavant).
Això alhora pot desencadenar en la instal·lació camuflada d’un virus o codi maliciós (malware), és a dir, un programa informàtic maliciós que malmet l’ordinador i la informació, o en la recopilació de contactes, contrasenyes i qualssevol altres dades a les quals vulgui accedir el ciberdelinqüent .
Com podem evitar això?
- La regla d’or continua sent desconfiar de qualsevol comunicació inusual i fer una “doble comprovació” . Per sortir de dubtes, hem de contactar amb el suposat remitent (el nostre cap, familiar, banc, etc.) per altres mitjans que siguin oficials, per preguntar si el correu rebut és real.
- No fer res del que ens sol·liciten, fins no haver comprovat això. Això suposa, no descarregar arxius o imatges, ni punxar en enllaços i encara menys introduir dades personals o contrasenyes a les pàgines web enllaçades.
- Podem comprovar els enllaços sense clicar-hi i evitar així introduir dades en una pàgina web falsa. Això es pot fer movent el ratolí per sobre de lenllaç, com diem, sense punxar directament. Fent això, veureu que apareixerà un missatge amb el nom original de la web a què redirigeix aquest enllaç i podreu comprovar si és una web oficial o és una web fraudulenta.
- Si tenim sospites del contingut d’una comunicació, no responeu a l’e-mail. Això podria posar en alerta el cibercriminal i podria utilitzar altres mitjans alternatius per enganyar-nos novament (com Vishing o Smishing, dels quals en parlarem en propers TIPS).
- No ometre’l o eliminar-lo sense més ni més. Si hem comprovat això i en algun dels punts hem detectat la falsedat de la comunicació, no l’hem d’eliminar sense més ni més. Hem de notificar aquest incident en l’àmbit laboral a l’equip de suport IT, i en l’àmbit personal al proveïdor tecnològic del servei de correu electrònic (Microsoft, Google, etc.), perquè l’analitzin, el solucionin i puguem continuar utilitzant tant nosaltres com qualsevol altre Usuari, aquest servei amb total seguretat.