Com actuar un cop has fet clic sobre l'enllaç d'una estafa: la guia definitiva

La primera norma de seguretat davant qualsevol missatge sospitós és no fer-hi clic. De fet, també és millor evitar-ho fins i tot en els missatges que, a priori, no semblen sospitosos. Si per sistema no obrim cap enllaç inclòs en un missatge, evitarem molts possibles ensurts.

A vegades, tanmateix, acabem fent-hi clic. Ja sigui per un descuit, per pressa, per una confusió... els ciberdelinqüents ho saben i juguen amb la probabilitat que abaixem la guàrdia o que ens confiem d'un remitent que coneixem i que sembla legítim.

A partir d'aquí, l'abast dels danys depèn de moltes circumstàncies: hem fet només clic i, potencialment, se'ns ha instal·lat un programa maliciós? O hi hem fet clic i, a més, hem introduït dades personals al lloc web on ens ha portat l'enllaç? Quines dades? On?

Davant d'aquestes diferents possibilitats, l'Agència de Ciberseguretat de Catalunya ha elaborat, i compartit amb el portal 324.cat, un decàleg d'accions que cal seguir un cop tinguem la sospita que hem fet clic en un enllaç maliciós:

1. Gestionar les emocions i verificar

El primer pas és tranquil·litzar els ànims per poder tenir un estat de serenitat que permeti una anàlisi exhaustiva del problema.

Si el missatge on hem fet clic ens l'enviava, suposadament, algú o alguna entitat que coneixem, podem procedir a contactar amb ells directament per confirmar que han estat els emissors i no precipitar-nos en les conclusions.

2. Identificar i valorar la informació compromesa

Cal analitzar quina informació personal s'ha vist compromesa, quines dades bancàries, d'accés o contrasenyes hem introduït a l'enllaç que acompanyava el missatge sospitós. Aquest és el punt que condicionarà més el nostre nivell d'alerta i els pròxims passos.

3. Generar evidències

Abans d'eliminar qualsevol rastre de l'estafa, és important recollir el màxim d'informació sobre el procés que ha seguit dins del nostre dispositiu.

Calen captures de pantalla de tots els passos i apuntar informació com el correu d'origen de l'estafa, el contingut de la imatge, l'enllaç on has fet clic, el seu contingut i missatges diversos rebuts...

4. Recollir-ne les traces

Cal tenir clar tot el que ha passat a partir del nostre clic: mirar si hi ha hagut cap descàrrega i esborrar-ne el rastre, eliminar qualsevol arxiu nou i desconegut, revisar missatges de correu enviats recentment des del nostre compte que puguin haver enviat en nom nostre, revisar la paperera... i també les publicacions recents a les nostres xarxes socials i aplicacions de missatgeria.

5. Mitigar els danys

Quan hem confirmat que hem estat víctimes d'una estafa, és imprescindible frenar l'atac. Cal impedir la confirmació a cap accés desconegut, no compartir amb ningú cap codi rebut --ni tan sols amb persones conegudes-- i començar a canviar contrasenyes.

És recomanable cancel·lar subscripcions que se'ns hagin pogut activar, pausar o apagar targetes (si hi han estat involucrades dades bancàries) i és especialment important fer un escaneig amb un antivirus per veure si el programa detecta alguna cosa. De la mateixa manera, és un molt bon moment per actualitzar tots els programes i el sistema operatiu.

Com a mesura d'emergència, si detectéssim errades estranyes, inestabilitat del sistema o tinguéssim constància que s'ha instal·lat un programa maliciós, caldria fer un reset al dispositiu sense reiniciar-lo a partir de cap còpia de seguretat; és a dir, esborrar tots els seus continguts i del dispositiu i deixar-lo tal com ens va arribar de fàbrica.

6. Evitar infectar més persones

És important impedir que la infecció es traslladi a altres contactes i usuaris de la xarxa. Cal desconnectar el dispositiu de la xarxa: evitar el WiFi compartit, desconnectar l'ordinador d'internet, si cal fins i tot de forma física, desconnectant-ne el cable Ethernet, i posar el dispositiu afectat en mode avió.

7. Dirigir-se als especialistes

Si el dispositiu afectat pertany a una empresa, institució, entitat o entorn educatiu, cal dirigir-se a la corresponent àrea TIC, al departament de cibersegurerat, informàtica o similar, i avisar-los i traslladar-los el màxim d'informació possible perquè monitoritzin el cas.

8. Contactar els experts

Hi ha persones especialitzades que poden guiar-nos en els següents passos. Si formem part d'un col·lectiu, l'Agència de Ciberseguretat de Catalunya disposa d'un servei en cas d'incident, el CERT, al qual es pot contactar per telèfon o correu electrònic (900 112 444 o cert@ciberseguretat.cat). Per als ciutadans, l'Agència de Ciberseguretat dirigeix al programa Internet Segura.

Cal denunciar-ho al cos de Mossos d'Esquadra, si el frau ha comportat algun robatori econòmic o d'identitat, així com a l'Agència de Protecció de Dades, si l'incident implica dades personals.

L'Institut Nacional de Ciberseguretat també disposa del 017, el número curt d'ajuda a la ciberseguretat per a empreses i persones, que ofereix servei gratuït i confidencial en tot l'àmbit espanyol, i que funciona de 8.00 a 23.00, cada dia de l'any.

9. Avisar l'empresa o persones implicades

Cal ser transparents, dins de les possibilitats, quan hem estat víctimes de frau. Caldria avisar els nostres contactes a les xarxes socials i al correu electrònic si observem que algú es podria haver fet passar per nosaltres a l'hora d'enviar missatges.

Les companyies ho acostumen a fer públic a través de les seves xarxes i canals oficials. Algunes empreses, com les del sector bancari, ja avisen dins de les seves pàgines web que ells mai sol·liciten dades bancàries i que si algú ho demana és que ens trobem davant d'un frau.

10. Fer-ho públic a les xarxes

Explicar públicament que hem estat víctimes de ciberfrau no ha de fer vergonya. Al contrari, ser víctima d'un incident és una cosa que passa habitualment, i difondre-ho ajuda a prevenir altres persones per evitar que caiguin en el mateix parany, o alertar-les en cas de variants del mateix frau.

El mòbil ens fa vulnerables

Les estafes per "smishing" estan desplaçant a poc a poc els atacs de phishing. En comptes d'arribar-te per correu electrònic, són cada cop més els atacs que es fan passar per un missatge al mòbil que ens arriba del banc, d'un servei de paqueteria o, també, d'Hisenda.

Els atacants s'aprofiten de les particularitats de la nostra relació amb el telèfon: els missatges al mòbil arriben a un dispositiu que portem sempre a sobre, que utilitzem de forma automàtica i rutinària, que sentim més proper i amb més confiança i que, molt sovint, fem servir en moviment. A tot això se li suma una pantalla que no ofereix la millor visibilitat ni precisió.

?El phishing utilitza tècniques d'engany que aprofiten les vulnerabilitats humanes; com l'estrès i la falta de conscienciació en ciberseguretat?Ha sigut el mètode d'atac més utilitzat contra el sector sanitari per la seva efectivitat.
Per saber-ne més??https://t.co/m9gW2BkaZl pic.twitter.com/dEdNSeg9zh

— Agència de Ciberseguretat de Catalunya (@ciberseguracat) July 15, 2021

Atenent un missatge al telèfon mòbil, per tant, ja juguem amb desavantatge: la nostra atenció disminueix i som més vulnerables. A partir d'aquí, quedem a mercè de la punteria dels ciberdelinqüents amb la temàtica escollida.

Tal com explica Tomàs Roy i Català, director de l'Àrea Centre d'Innovació i Competència en Ciberseguretat, els enviaments massius de missatges de phishing o "smishing" no es diferencien gaire de les operacions de màrqueting en què se substitueix l'objectiu de vendre un producte pel de fer caure en l'engany: "els ciberatacants fan campanyes que s'adapten a cada estacionalitat":

"Es tracta d'un procés en què els delinqüents milloren constantment les tècniques. Veuen una oportunitat i s'hi adapten, i així contínuament"

Quan s'acosta la campanya nadalenca, els atacants envien missatges relacionats amb les compres: devolucions, ofertes impossibles, serveis de paqueteria... Quan arriba l'època de la declaració de la renda, rebem molts més missatges d'estafadors que es fan passar per Hisenda. Durant les vacances, els missatges venen del banc, advertint-nos que ens hem quedat sense targeta per gaudir dels dies d'oci.

Totes aquestes temàtiques són exitoses pel fet de ser circumstancials: apareixen en moments en què molta més gent és sensible. Però també hi ha campanyes cada cop més dirigides i personalitzades.

En el cas de campanyes amb objectius més concrets, l'enginyeria social, el conjunt de tècniques utilitzades pels ciberdelinqüents per enganyar els usuaris, és imprescindible, insisteix Tomàs Roy:

"Si el missatge de l'estafa acaba coincidint amb un interès personal de la víctima, és molt més probable que hi caigui"

La quantitat d'informació que l'atacant tingui de nosaltres, doncs, farà més o menys efectiu l'atac. El problema és que cada cop hi ha més informació personal a les xarxes, tal com explica el director de l'Àrea Centre d'Innovació i Competència en Ciberseguretat:

"Els ciberdelinqüents disposen d'identitats digitals cada cop més elaborades. Hi ha hagut fuites massives d'informació en totes les xarxes socials i serveis importants, amb les quals poden fer perfils molt exactes de cadascú de nosaltres"

Un atac de "smishing" ultrapersonalitzat és el que van utilitzar en el cas de Catalangate per infectar el telèfon de diferents líders polítics, activistes i periodistes catalans. Sabien qui era cada objectiu, tots els seus interessos, i com assegurar-se al 100% que farien clic a l'enllaç que havia d'instal·lar el programari espia.

La majoria dels atacs que rebem habitualment es basen, però, en informacions menys precises i els missatges són a l'engròs. Tampoc acostumen a pretendre instal·lar-nos cap programari.

És més barat enviar un sol missatge massivament i esperar que un tant per cent dels recipients hi faci clic i enganyar-los perquè emplenin les dades que necessiten. Per això no sempre són tan precisos.

Si rebem el missatge d'una suposada empresa de paqueteria just el dia que estem esperant un paquet hi caurem més fàcilment. Però si som clients d'un banc i rebem el missatge d'un altre banc diferent on no hi tenim compte, ens adonarem més fàcilment de l'intent d'estafa.

Com identificar una estafa

Els ciberatacs per phishing i les seves variants d'entrada ("smishing", per SMS, o "vishing", per trucada de veu) augmenten de forma imparable, especialment després de l'escenari que va obrir la pandèmia, per això cal estar-hi més alerta i aprendre a identificar-los.

Avui dia, pràcticament tothom que té un telèfon mòbil ha rebut un missatge enganyós amb un enllaç fraudulent. L'Agència de Ciberseguretat de Catalunya en dona dades:

"Els ciberatacs de phishing publicats als mitjans amb afectació a Catalunya van créixer un 228% el 2020, amb l'esclat de la pandèmia. Des de llavors, els valors s'han mantingut en xifres altes i similars.

Hi ha diferents senyals que ens poden servir per identificar un missatge fraudulent abans de caure-hi:

• El remitent: qui ens envia el missatge, el coneixem o no? El seu domini, el que ve just després de l'arrova, és legítim? És security@instagram.com, que podria ser l'oficial, o Instagram@securtiy-one.com, que clarament pertany a una altra organització?
• L'enllaç: a quina web ens porta l'enllaç del missatge? Passant-hi el ratolí per sobre podem veure una prèvia de l'enllaç, o utilitzar serveis com unshorten.it o VirusTotal.com per comprovar la veracitat i seguretat d'un enllaç escurçat.
• Les formes: com es dirigeixen a nosaltres? Si ens tracten amb poca formalitat o amb salutacions genèriques, ens podem trobar molt fàcilment davant d'un missatge maliciós. Sospita d'un "hola amiga o amic", d'un "bon dia" o d'un "estimat".
• El text: Errors ortogràfics, fórmules poc habituals, frases mal construïdes, errors de format o disseny... són senyals que ens trobem davant d'un possible frau.
• La urgència: Els missatges amb intencions malicioses ens volen transmetre una sensació de pressa, d'emergència, que vol reduir la nostra capacitat de reflexió i sensatesa i que ens ha de fer sospitar. Res és definitiu i sempre hi ha temps per solucionar problemes

Resum per evitar fraus: desconfiança i formació

En resum, per evitar caure en un frau cal actuar amb serenitat i desconfiança, no fer clic enlloc, no compartir dades personals, contrasenyes ni codis amb ningú, activar l'autentificació multifactor, o verificació en dos passos, allà on es pugui i optar sempre per portar la iniciativa.

És molt més segur que siguem nosaltres mateixos els que iniciem el contacte des d'un mitjà oficial: trucar al telèfon d'una empresa per verificar qualsevol informació rebuda en comptes de respondre una trucada o un missatge que, suposadament, prové d'aquella empresa.

Segons un estudi de l'empresa de ciberseguretat Terranova Security publicat el 2021, a Europa, un 20,2% dels usuaris no reconeixen un correu electrònic de phishing i un total del 14,9% arriba a descarregar-se un arxiu maliciós (el 73,9% dels que prèviament han fet clic).

La prevenció és clau i passa, sobretot, per la formació: un estudi del 2022 estima que després d'un període de formació, les organitzacions poden aconseguir reduir en un 85% el nombre de treballadors que "cauen" en el phishing.

Algunes organitzacions, de fet, sol·liciten a empreses especialitzades que els configurin campanyes falses de phishing. Aquestes es dediquen a enviar, periòdicament, correus fraudulents, però segurs, als treballadors de l'organització que ho sol·licita, per entrenar-los.

Aquestes empreses elaboren estadístiques sobre les interaccions dels treballadors amb els correus i comparteixen quants hi acaben picant, per advertir-los i ensenyar-los a identificar els trets característics d'un correu sospitós.

Tot, per enfortir la baula més dèbil de la seguretat de qualsevol dispositiu: la persona que l'utilitza i que, tot i les moltes advertències, acaba fent clic on no toca.