El phising és un dels nou ciberdelictes registrats en el Codi Penal espanyol. Un tipus d'atac informàtic amb el qual s'intenta sostreure informació personal de les víctimes mitjançant un cimbell que arriba a la safata d'entrada del correu electrònic. Aquesta informació personal que el hacker sol requerir inclou contrasenyes o dades personals en general relacionades amb comptes bancaris. En última instància, el que es pretén amb aquestes estafes és el benefici econòmic.
Via www.estafa.info
A Espanya aquest tipus de delictes estan a l'ordre del dia. És més, Espanya és, segons la prestigiosa empresa de seguretat informàtica Kaspersky Lab, un dels països més afectats pel phising a nivell mundial, només per darrere de Guatemala i el Brasil. Els números no menteixen: en el territori nacional, les xifres s'han disparat en l'últim lustre. Dels 18.000 casos registrats en 2014 als 120.000 que es van auditar quan es va tancar 2018, segons l´Institut Nacional de Ciberseguretat.
Això suposa un augment de res menys que el 566% entre els dos períodes. I pujant, perquè en el primer trimestre de 2019 també va haver-hi un increment del 5% respecte als últims tres mesos de 2018. Caldrà esperar que acabi aquest any per a verificar si, en el còmput global, els casos de 2019 superen als de 2018. Tot sembla indicar que així serà.
En general, les entitats més afectades pel phising són les bancàries. Encara que plataformes globals i multinacionals no s'escapen tampoc de les males intencions dels phishers. Uns phishers que s'estima que obtenen una “rendibilitat” de més de 14 milions d'euros a l'any, els mateixos que perden les víctimes que cauen en el sofisticat parany teixit en les xarxes del phising.
Com defensar-se?
El primer que cal saber per a poder protegir-se dels atacs de phising, és com funcionen i operen els atacs de phising. En altres paraules, el seu procediment comú. Que comença, com es va apuntar amb anterioritat, en la safata d'entrada del correu electrònic. Allí, el phisher fa arribar a la potencial víctima un missatge en el que pareix que el remitent és una entitat amb la qual l'usuari té una relació contractual. Un banc, per exemple. L'estafador intentarà que l'estètica d'aquest missatge sigui el més semblant possible al d'un original de la companyia a la qual està intentant imitar.
Si cola, i la víctima creu que el correu electrònic prové de la seva entitat financera perquè el phisher ha aconseguit la mateixa tipografia o perquè ha aconseguit una bona imitació del logo, el següent pas és probable que sigui un enllaç. Una invitació per a que el receptor del correu punxi en ell per a ser redirigit a una pàgina web on haurà d'emplenar les dades que l'emissor vol que empleni. Ja se sap, contrasenyes, dades personals...qualsevol informació valuosa que al hacker li serveixi per a treure profit.
Una vegada en el navegador, és important cerciorar-se que el lloc web compleix amb el protocol de seguretat https. En cas que només sigui http, alguna cosa falla. Perquè el normal és que les entitats bancàries utilitzin tota la seguretat possible en les seves plataformes en línia. Si la víctima no s'adona i emplena les dades, ha caigut definitivament en el parany i el phisher ja ha aconseguit el que havia vingut a aconseguir. Es dóna la circumstància que, encara que a priori sembli fàcil de detectar, les tècniques dels phisers són cada vegada millors, cada vegada més originals i cada vegada més difícils de distingir d'un veritable missatge.
Així i tot, és important fer cas omís de correus electrònics que utilitzen salutacions estàndard sense personalitzar, és a dir, sense esmentar ni nom ni cognoms del client al qual va dirigit el correu en qüestió. Les faltes d'ortografia són també una via per a poder identificar un possible atac de phising, ja que les companyies serioses disposen avui dia de canals de comunicació professionalitzats i cures fins al més mínim detall. Ignorar ofertes desproporcionades o regals és, així mateix, una bona idea.
Què fer en cas de ser infectat?
El problema és que el nivell d'alerta no pot estar sempre al màxim. A vegades, la guàrdia pot estar baixa. I aquí, és més fàcil ser víctima. Si es dóna el cas, és important actuar amb la major celeritat possible per a solucionar i espantar a l'amenaça. El primer que s'aconsella és posar-se en contacte amb l'entitat que se suposa havia enviat el correu electrònic perquè cancel·li els comptes bancaris i que el phisher no pugui accedir als recursos econòmics de l'estafat. A més, és també pertinent contactar amb les autoritats competententes, com la Brigada Nacional de Recerca Tecnològica de la Policia Nacional, per a denunciar el cas.
