El Phishing és el delicte de suplantació d’identitat per aconseguir contrasenyes, números de targetes de crèdit o altra informació confidencial
Normalment es rep un e-mail o sms fent-se passar per una entitat financera, servei d’internet, plataforma a la qual podem estar subscrits o una altra organització de confiança. El text sol ser un avís urgent de caducitat del servei o la necessitat hesitat d’actualitzar dades el més ràpid possible per no patir-ne les conseqüències. La por que, per exemple, es cancel·li la nostra subscripció o perdem una «super oferta» baixa les nostres defenses i debilita el nostre judici.
Encara que el primer consell que ja haurem escoltat milions de vegades és NO OBRIR CORREUS DE REMITENTS DESCONEGUTS, aquestes adreces de correu també vénen camuflades per confondre’ns i que hi confiem. Un altre bon consell és tenir un bon antivirus amb antimalware, però no ens enganyarem, encara molts pensen que, perquè pagaran per un antivirus si s’ho poden baixar «pirata» o fer servir una versió gratuïta.
Després d’aquesta breu introducció sobre què és el “Phishing”, vull compartir els diferents intents d’atac que he rebut darrerament, ja que alguns estaven molt ben aconseguits i fins i tot em van fer dubtar que potser fossin un e-mail de confiança, concretament un d’Hisenda i un altre de Wetransfer.
D’una banda, hi ha tots els que m’arriben al correu de @gmail.com i que ja són detectats directament com a correu brossa. Com veieu, els noms dels remitents semblen ser Corros, LIDL etc. i en l’assumpte, el missatge «aterridor»: – Les teves dades seran esborrades -, – Últim avís de lliurament -, – Felicitats, t’ha tocat … – “UN PERRITO PILOTO” M’HA TOCAT.
Si per casualitat un d’aquests missatges es cola a la safata d’entrada, la manera més fàcil de comprovar-ne la veritable procedència és deixar el cursor de ratolí sobre el nom del remitent uns segons. Apareixerà una finestra emergent que mostrarà el nom ia més a més l’adreça de correu des de la qual s’ha enviat en missatge. A l’exemple es veu clarament que el remitent no té res a veure amb l’oficina de Correos.
Si utilitzes un gestor de correu com Outlook o Mail d’Apple també pots veure el veritable correu electrònic del remitent fent clic o clic dret sobre el nom.
Al meu correu corporatiu se m’han colat alguns intents de Phishing fora de la carpeta spam. Us els comento perquè estigueu previnguts:
1.- De Nominalia
En el meu cas era de Nominalia, però si teniu un altre proveïdor us pot llagar d’aquest proveïdor. M’informava que un dels dominis registrats havia caducat i havia de renovar-lo urgentment per no perdre’l. Jo el que vaig fer va ser entrar al meu tauler de control i comprovar que al domini en qüestió encara li faltaven 4 mesos per caducar.
Per tant, vaig suprimir el missatge directament, sense obrir-lo i sense comprovar res més. Però si qui el rep és algú que només té registrat el domini del seu negoci i no sap amb certesa quan caduca, és molt possible que obriu el missatge i feu clic en un enllaç que us porti a realitzar un pagament d’entre 5 i 20 euros que és el que sol costar la renovació d’un domini.
Encara que aquest és fàcil detectar que es tracta d’una estafa, només cal comprovar abans de pagar, si envien 10.000 correus i en piquen 1.000, per exemple, doncs això que s’emporten…
2.- De WordPress
Vaig rebre un correu, suposadament de WordPress, que m’informava d’una actualització que havia de fer abans d’una data, en vermell per veure-la bé Just el dia que vaig rebre en correu era el darrer dia per fer aquesta actualització.
Aquest correu suposo que anava dirigit als que tenim un compte de WordPress, que és diferent de tenir una web realitzada amb WorPress però allotjada en un hosting propi.
El primer sospitós és que mai en tots els anys des que tinc el compte de WordPress he rebut un missatge semblant.
El segon, una manca d’ortografia.
Com a comprovació de rutina, ja sospitant força de la veracitat del missatge, vaig mirar la direcció del remitent i vaig poder comprovar que efectivament era un altre intent de Phishing.
3.- De Roundcube
Roundcube és un client de correu per veure els missatges de correu mitjançant una pàgina web. És el proveïdor de hosting el que el té instal·lat i tu accedeixes des d’una url que sol ser https://webmail.elteudomini.com. Doncs bé, em va arribar un missatge indicant que em caducava el servei de Roundcube i que ho havia de renovar immediatament per no perdre l’accés i bla, bla, bla…
El meu proveïdor de hosting no utilitza aquest servei, així que el missatge va ser enviat directament a la paperera «… sense passar per la casella de sortida i sense cobrar les 20.000 pts.»
Uns dies després, un altre client em va enviar el mateix correu electrònic dient que havia rebut aquest missatge i no sabia què havia de fer, Per sort va preguntar abans de fer res.
Si tu també reps un missatge semblant, ja sigui de Rouncube o un altre servei de webmail, abans de fer res assegura’t de l’autenticitat del correu i davant del dubte consulta amb el teu proveïdor del servei.
3.- De Wetransfer
Wetransfer és la plataforma utilitzada per enviar arxius que pesen massa com per enviar-los per correu electrònic convencional. Jo l’utilitzo força tant per enviar com per rebre arxius.
Aquest intent de Phishing estava una mica més elaborat, però tot i així hi havia alguna cosa estranya que des del principi ho feia sospitós. Mirant una mica més afons es troben les claus que fan veure que es tracta d’una altra suplantació d’identitat.
El correu que vaig rebre estava en anglès, quan tant els que jo envio com els que acostumo a rebre estan en castellà. Tot i així, podria ser que el remitent ho tingués configurat en anglès, tot és possible.
Els fitxers que suposadament m’envien no són res que jo esperés rebre: una factura, unes especificacions i un llistat del contingut.
En llegir-lo més detingudament es veu que a l’assumpte del correu hi ha una variable que s’hauria d’haver substituït pel mail del destinatari (se suposa que hi hauria d’anar la meva adreça de correu o el meu nom). «Estimat ## email##» ja va fer que se m’encengués la llum vermella de PERILL, però podria ser simplement un error. I com sempre: TOP URGENT, per posar-me nerviós.
El pas següent, com de costum va ser anar a veure el correu des del que s’ha enviat aquest missatge:
Ve de “wetransfer@noreply.com“. Entre els nervis perquè m’avisa que és urgent i que sóc mig dislèxic, em sembla que el missatge és autèntic, però encara. així hi ha alguna cosa que em grinyola. Millor ho reviso una altra vegada amb més deteniment.
Al peu del missatge es veu un text que indica que per assegurar-te de rebre aquests correus afegeixes l’adreça noreply@wetransfer.com als teus contactes. Però la direcció d’enviament és just al revés, wetransfer@noreply.com. Confirmat! És un altre missatge Phishing.
Quins cabrons! gairebé me la colen.
3.- De l’Agència Tributària
Tots sabem qui són i, no em digueu que no us fa por rebre qualsevol comunicació, per la qual cosa es pugui tractar. Tot i que ja he rebut tres missatges iguals i els dos últims ja ha anat a la safata de correu brossa, el primer va arribar a la safata d’entrada, i va coincidir que em va arribar uns dies després de presentar la liquidació del I.V.A. del primer trimestre.
En veure el nom del remitent «se’m van afluixar les potes» i el primer que vaig pensar va ser –ja està, ja em faran una inspecció per algun error a l’I.V.A. –
El missatge era tot text, indicant que tenia una notificació, amb les meves dades, un número de referència, etc. M’indicava que havia d’entrar a la web de l’Agència Tributària per descarregar-lo, amb la seva url, aquesta tan curteta i senzilla de recordar… I un altre link suposadament amb un enllaç directe únic per al meu accés al document.
En anar a veure l’adreça de correu del remitent, veig que és… @agenciatributaria.gob.es. Recordeu que en aquell moment encara estic dels nervis davant del dubte del que es pugui tractar si és que és cert que tinc una notificació.
L’adreça de l’enllaç directe també pertany al mateix domini, per la qual cosa dono per fet que pot ser veritablement un correu electrònic enviat des de l’Agència Tributària. I per no haver de cercar a Google la web i cercar l’apartat de notificacions, etc. faig clic (si, vaig fer clic al link de l’e-mail) i em dirigeix a una web idèntica a l’oficial. Mateix encapçalat, mateix peu de pàgina amb els diferents links als diferents serveis, etc. PERÒ… el cos de la pàgina és un formulari d’accés en què se sol·licita el meu USUARI i COMTESSENYA.
QUINS FILLS DE PUTA! Jo no entro a la web de l’Agència Tributària amb usuari i contrasenya (suposo que ningú ho fa) M’identifico amb el DNI, Data de caducitat i un PIN temporal que rebo al mòbil.
Però com podia ser que el formulari per al Phishing fos dins de la pròpia web de l’Agència Tributària?
Doncs perquè no ho estava. La web on havia anat a parar i des de la qual provenia el mail era agenciatributarie.gob.es (amb e) i que amb els nervis la vaig llegir com la seva fos una a.
Per descomptat, ja més tranquil, vaig accedir des del web oficial a l’apartat notificacions per comprovar que efectivament no tenia cap notificació.
Aneu amb compte i sigueu previnguts davant possibles atacs Phishing
Espero que això us sigui d’ajuda per detectar i prevenir els possibles intents de Phising que rebeu al vostre correu, per SMS o fins i tot per WhatsApp. Si, per WhatsApp també, heu rebut una cosa semblant a «Mama, m’he quedat sense bateria, truca’m a aquest número…» des d’un número desconegut. Doncs no ho feu.
