Un arbre de Nadal amb molts regals

El comerç en línia continua guanyant adeptes, especialment en aquestes dates. Molts consumidors tenen previst recórrer al comerç electrònic per a realitzar una part important de les compres i és bastant probable que augmenti la venda de targetes de regal digitals a les portes de Reis i els regals que es volen fer. Els ciberdelinqüents, que sempre estan a l’aguait, estan fent les seves pròpies llistes per a aprofitar aquest increment de l’activitat digital que impliquen les festes.

En una època de l’any especialment complicada perquè compradors de totes les edats acudeixen en massa als cercadors d’Internet i als canals en línia per a fer les seves comandes i que arribin a temps, els ciberdelinqüents saben molt bé com crear esquers atractius que no només resulten perillosos per als menys experimentats, sinó que algunes d’aquestes estafes poden sentir enganyats als compradors més avesats.





Algunes de les ciberamenaces més comunes per a les quals cal preparar-se durant aquestes festes són:

Targetes regal: són un vehicle habitual per a ciberdelinqüents i estafadors, ja que una vegada que s’ha sostret els diners amb el qual estan carregades, pràcticament no hi ha manera de recuperar-lo.





Quines tàctiques utilitzen?

– Missatges de correu electrònic estranys en els quals es demana al receptor que ajudi a un amic o familiar de manera urgent, introduint una targeta regal com a pagament.

– Manipulant les targetes regal que es venen a les botigues: traspassen la capa de protecció per a anotar els números PIN, i després la “substitueixen” per un adhesiu perquè sembli nova. Els estafadors introdueixen aquests números PIN en un programari que envia una alerta una vegada que algú ha comprat i activat la seva targeta regal, i després buiden tots els seus fons.

– Atacs de presa de possessió de comptes (ATO): el ciberdelinqüent usa primer tàctiques d’introducció de credencials o de polvorització de contrasenyes per a obtenir les credencials del compte d’una plataforma de comerç electrònic concreta. Després, empra aquesta informació per a realitzar compres fent servir les dades del compte, sovint comprant targetes regal electròniques amb un alt valor i en grans quantitats, que després utilitzen ràpidament per a evitar ser rastrejats.





Com evitar-les?

– Establir contrasenyes segures per a cada compte en línia, assegurant-se de no repetir la mateixa en dues plataformes. Fer servir una aplicació de gestió de contrasenyes per a fer un seguiment dels diferents comptes. Fer ús d’identificadors d’usuari aleatoris, si el lloc ho permet.

– Actualitzar regularment les credencials d’inici de sessió i supervisar els comptes a la recerca de signatures d’activitat inusual.

– Quan s’adquireixen targetes regal en botigues, inspeccionar-les visualment per a identificar signes de manipulació, abans de carregar els fons.

– No pagar mai compres en línia amb targetes regal quan ens ho sol·licitin per correu electrònic; l’ideal és consumir només en comerços que coneguem i en els quals confiem. Les targetes de crèdit són el millor mitjà de pagament, ja que la majoria proporciona algun nivell de protecció contra el frau. Les aplicacions de transaccions entre particulars, com Bizum, només han d’emprar-se quan les transaccions es realitzin entre persones a les quals coneguem i en les quals confiem.





Estafes de phishing per videoconferència

Les plataformes de videoconferència s’han convertit en un altre instrument de phishing des que va començar la pandèmia. Per això, cal estar atents a unes certes estafes basades en la interacció social.





Quines tàctiques utilitzen?

– Missatges de correu electrònic que conviden a l’usuari a descarregar una nova versió d’un programari de videoconferència i inclouen un enllaç fals que dirigeix a un lloc on l’usuari pot descarregar un programa d’instal·lació. En alguns casos, el programa instal·la el programari de videoconferència, però també carrega un troià. Aquest programa dona als estafadors accés a informació i dades sensibles de l’usuari, que es venen en el mercat negre o s’aprofiten per al robatori d’identitats.

– Missatges de correu electrònic a empleats que estan teletreballant i esperen rebre invitacions amb enllaços a videotrucades per a mantenir reunions laborals. En aquests casos, els estafadors envien enllaços que porten a l’usuari a una pàgina d’inici de sessió falsa -que s’assembla molt a la real- per a robar les credencials. Si tenen èxit, aquests atacants intentaran utilitzar-les per a accedir a comptes i xarxes corporatives.





Com evitar-les?

– Fixar-se en l’adreça del remitent abans de fer clic en els enllaços remesos per correu electrònic o de descarregar els arxius adjunts, encara que semblin procedir d’una font de confiança. En la majoria dels casos, els correus electrònics de phishing es trameten des d’adreces que no contenen l’adreça web legítima de l’organització del suposat remitent.





Cada vegada més amenaces en els telèfons mòbils

La versió telefònica del “phishing” es denomina “vishing“, i les estafes per missatges de text es diuen “smishing“, un joc de paraules amb el terme SMS. Encara que els telèfons intel·ligents puguin semblar menys vulnerables a les amenaces, en realitat no és així.





Quines tàctiques fan servir?

– Missatges de text fraudulents que semblen procedir de comerços amb els quals els usuaris estan familiaritzats i que acostumen a contenir un enllaç que, quan es fa clic, redirigeix a un lloc web fraudulent que simula el lloc legítim del comerç, però que està dissenyat per a extreure la informació personal identificable (PII).

– App malicioses, sobretot per a dispositius Android, que s’usen per a sostreure dades financeres i credencials.

– Trucades telefòniques per a sol·licitar informació d’identificació personal: transmeten un missatge urgent sobre una comanda realitzada recentment per a enganyar l’usuari i que proporcioni informació com les credencials d’accés o dades de bancaris.

– Un missatge de veu en el qual aprofiten precisament la por a les estafes i les ciberamenaces. El missatge diu una cosa així: “URGENT: El seu compte bancari ha estat bloquejat a causa d’una activitat sospitosa. Truca’ns immediatament per a restablir l’accés”. I quan la víctima retorna la trucada, se li demana que proporcioni informació confidencial que després és utilitzada de manera maliciosa.





Com evitar-les?

– Cal confirmar que el número de telèfon des del qual s’ha rebut una trucada o un missatge de text pertany a l’organització que diu haver-lo enviat, abans de proporcionar qualsevol informació.

– És important recordar que els bancs i els organismes oficials gairebé mai es posen en contacte amb els clients o els ciutadans d’aquesta manera, sobretot per a sol·licitar informació. És millor posar-se en contacte amb l’entitat bancària per a preguntar pel missatge rebut.





Compte amb els codis QR

Un nou mètode que estem començant a veure és el dels estafadors que afegeixen un codi QR a productes populars i que fins i tot creen bàners o desenvolupen materials de màrqueting i els deixen a les botigues físiques. La víctima veu un producte que li agrada i un cartell al costat que li diu que pot aconseguir el producte més ràpid o amb un descompte i tot el que ha de fer és escanejar el codi QR, que el porta a un lloc web preparat per a alguna estafa o l’anima a descarregar un malware.





Reflexions finals sobre la seguretat digital

Gaudir de les festes sense problemes ni sobresalts només requerirà estar una mica més atents, utilitzar el sentit comú, desconfiar de correus electrònics, missatges de text o trucades telefòniques que procedeixin de números o fonts desconegudes i actualitzar regularment les credencials d’accés. Ah! I ajudar a divulgar aquests consells i a conscienciar i formar perquè la informació és la millor arma per a lluitar contra la ciberdelinqüència.





Per Tecnonews