Escaldes-Engordany
Atacs a la xarxa: Els enganys dels pirates informàtics
Andorra Telecom alerta d’un intent de ‘phishing’ o pesca de credencials que pot afectar els usuaris
Andorra Telecom va alertar ahir a les xarxes socials d’un intent de phishing –o pesca de credencials– que pot afectar els usuaris. Segons la companyia, algunes persones reben un correu electrònic on se’ls avisa que el pagament s’ha completat correctament i demana que cliquin en un enllaç per rebre la factura. Tanmateix, Andorra Telecom recomana que l’usuari no piqui en aquest enllaç, perquè podria caure en un robatori de dades personals. Aquest no és el primer cop que es viu un atac cibernètic al Principat. De fet, fa un parell de setmanes, ja va haver-hi una onejada de robatoris de comptes d’Instagram d’alguns polítics o persones amb influència al país. Amb la transformació digital, és una situació cada cop més habitual, la qual no només afecta empreses, sinó que qualsevol pot convertir-se en una víctima dels atacants. A continuació, expliquem quines són les principals causes d’un atac cibernètic, els impactes o conseqüències i, finalment, informem sobre com fer -hi front.
Primer, entre els principals motius pels quals es pot generar un ciberatac es destaquen: la vulnerabilitat dels sistemes informàtics; la divulgació d’informació confidencial per part de l’individu; la pèrdua o robatori de dispositius electrònics; i l’enginyeria social, és a dir, la manipulació de persones amb la finalitat d’obtenir comptes o contrasenyes. En aquesta síntesi, ens centrarem en l’enginyeria social, per mostrar el tipus de mentides que s’inventen els estafadors.
D’una banda, el phishing consisteix a enganyar a un usuari fent-se passar per una persona, empresa, o servei que generi confiança, com per exemple, un banc o un amic. Per tant, el ciberdelinqüent crea un missatge fals que soni convincent i requereixi una acció immediata. A més, afegeix un enllaç a una pàgina web falsa creada pel mateix amb la finalitat d’accedir a les dades introduïdes pels usuaris. Aquest tipus d’engany se sol enviar a través del correu electrònic. Així doncs, per no caure, els experts recomanen accedir al servei que ha contactat amb l’usuari a través de Google sense utilitzar cap enllaç adjunt al missatge que ha rebut. Tampoc s’han de facilitar les dades d’inici de sessió o contrasenyes a ningú, i es recomana instal·lar un programa de protecció per comprovar si hi ha correus brossa.
Altrament, el vishing és un ciberatac que consisteix a rebre una trucada telefònica en la qual algú es fa passar per una empresa, també per obtenir informació confidencial. En tractar-se d’una trucada, la víctima es posa més nerviosa i tendeix a donar més informació. Per aquest tipus d’atac, el que s’aconsella és que si truquen d’una empresa demanant dades personals, el més idoni és penjar i trucar personalment al telèfon d’atenció al client per confirmar què succeeix.
En aquesta línia, el Sim Swapping és un altre atac que tracta de fer-se passar per la víctima després de realitzar un robatori d’identitat com els que s’han esmentat. En aquest tipus d’estafa, el ciberdelinqüent es fa passar per l’usuari i demana un duplicat de la seva targeta SIM. A vegades, per aconseguir-la, només és necessari trucar a la companyia de telèfon i entregar dades simples com el DNI, juntament amb el nom complet. El problema és que, amb la SIM, l’atacant es pot fer passar per la persona afectada en molts serveis, ja que molts cops, aquests demanen confirmar un pagament a través d’un SMS. El que s’aconsella és parar atenció als missatges que es reben, sobretot aquells que requereixen una confirmació amb un codi de seguretat. Si es detecta una anomalia, s’ha de trucar a la companyia per anul·lar el duplicat de la targeta.
Una altra pirateria que s’ha fet popular recentment és enganyar a l’usuari amb criptomonedes, sobretot al públic més jove. Per exemple, el delinqüent compra un compte que tingui molts de seguidors a les xarxes socials per manipular als adolescents explicant-los que hi ha un grup de persones que està guanyant molts diners amb algun mètode d’inversió en el mercat de valors o amb les criptomonedes, i fa afirmacions falses com: amb només 200 euros pots ser milionari seguint aquests passos.
També cal fer esment que, els ciberdelinqüents troben freqüentment errors en algunes pàgines web, fet que els permet obtenir comptes i contrasenyes dels usuaris que es connecten a la xarxa. Un cop tenen les dades, les venen o les publiquen a internet perquè un altre atacant es faci passar per la víctima. Per protegir-se, se suggereix no repetir la contrasenya o variants en diferents webs. A més, la contrasenya que s’instauri no ha de ser fàcil. També és important anar canviat les claus cada certs mesos.
Altres consells més generals que es recomanen seguir és que el programari antivirus i tallafocs estigui sempre executat a l’ordinador; actualitzar el programari i el sistema operatiu a mesura que estiguin disponibles les actualitzacions oficials, no obrir els fitxers adjunts que es reben per part de desconeguts; no descarregar un programari ni executar-lo si es desconeix la font d’internet; crear contrasenyes amb un mínim de vuit caràcters, utilitzant minúscules i majúscules, així com signes de puntuació i números; no utilitzar una contrasenya, encara que sigui complexa, per a tots els llocs; no introduir cap recurs en línia si l’ordinador o telèfon està connectat a un wifi sense contrasenya; i copiar tots els fitxers i documents importants a un lloc segur i inaccessible per altres persones, on no hi hagi connexió a Internet.
Per finalitzar, les empreses i els llocs web fiables es diferencien dels fraudulents per la presència de pàgines xifrades amb una adreça com Https.