“El mòbil m’ha estafat”

Trucades fraudulentes, SMS falsos, correus electrònics enganyosos... Els telèfons intel·ligents s’han convertit en la porta d’entrada per a molts ciberdelinqüents, que volen obtenir les nostres dades personals per omplir-se la butxaca. T’expliquem com pots reconèixer aquestes estafes per no caure en la trampa.
1 Juny de 2023

“El mòbil m’ha estafat”

Quan la mare de l’Anna va mirar la pantalla del seu telèfon mòbil, va llegir un missatge de text breu, directe. A l’SMS, procedent del seu banc, podia llegir: “A partir d’aquest dia, no podrà fer servir la targeta bancària per uns canvis en la política de seguretat. Accedeixi a l’enllaç següent per procedir a activar-la”. Després de prémer l’enllaç, la van redirigir a una pàgina web falsa que simulava ser la pàgina de l’entitat financera. Confiada, va introduir totes les credencials personals. Era un frau. I el ciberdelinqüent, amb aquestes claus robades, va tenir temps de buidar per complet el compte on la víctima ingressava els estalvis per pagar la universitat de la filla. Per evitar que el poguessin rastrejar, l’estafador va derivar els diners a comptes moneder de criptomonedes controlats per l’organització criminal.

Aquesta història real és un dels centenars de casos que cada any atenen a l’Institut Nacional de Ciberseguretat (Incibe). Estafes cada vegada més freqüents que arriben pels telèfons mòbils en forma de SMS, pels correus electrònics o aplicacions de missatgeria instantània com WhatsApp. Només el 2022, l’Incibe va gestionar gairebé 120.000 incidents relacionats amb aquests fraus, un 9% més que l’any anterior. El mateix Centre Nacional d’Intel·ligència (CNI) reconeix que els dispositius mòbils i les aplicacions són eines propícies per a estendre aquests atacs, cada vegada més complexos i sofisticats, que afecten tots els sistemes operatius. Ningú no està a resguard de caure en la trampa, perquè els ciberatacs poden afectar des d’institucions oficials fins a grans corporacions, pimes i, per descomptat, qualsevol internauta.

Com aconsegueixen enganyar-nos?

Per norma general, els ciberdelinqüents volen aconseguir el màxim nombre de víctimes amb la mínima inversió possible. Per fer-ho, recorren a mètodes d’enginyeria social. Aquest concepte es basa en una realitat: és més fàcil controlar les persones que les màquines. Per portar a terme aquestes agressions, fan servir tècniques de manipulació psicològica amb l’objectiu d’aconseguir que els usuaris revelin informació confidencial o facin qualsevol tipus d’acció que pugui beneficiar l’agressor. “Es fan passar per algú amable, digne de confiança o amb autoritat i enganyen les persones perquè confiïn en ells”, lamenta el portaveu de l’associació Pantalles Amigues, Rubén Domínguez. I els telèfons són els mitjans més efectius per a arribar a les víctimes.

“Als mòbils consultem el correu electrònic, naveguem per internet, consultem les xarxes socials, ens comuniquem diàriament… Els delinqüents ho saben i s’adapten a aquesta nova realitat”, explica l’inspector en cap de la Unitat Central de Ciberdelinqüència de la Policia Nacional, Diego Alejandro. Els agressors recorren a diferents mètodes per accedir als telèfons intel·ligents. “Compren bases de dades que contenen informació personal d’usuaris, com els números dels mòbils, correus electrònics, adreces postals… A més, quan un servei web pateix una bretxa de seguretat, les dades dels seus clients queden exposades i els ciberdelinqüents hi poden accedir”, adverteix Domínguez. Per delinquir, els estafadors han desplegat una llarga llista de tècniques fraudulentes que envien a les víctimes potencials pels terminals mòbils.

Trucs per a reconèixer un missatge fraudulent

És imprescindible que no ens precipitem i llegim bé els missatges que rebem per evitar caure en la trampa. Algunes pistes senzilles ens poden ser molt útils.

  1. Comprovar l’ortografia i la redacció. Molts dels missatges fraudulents contenen errors ortogràfics i de redacció per l’ús de traductors automàtics.
  2. Veure si inclou un enllaç. Els SMS fraudulents sempre porten un enllaç per a fer l’atac. Generalment són HTTP que, com que no van xifrats, són els més perillosos. Aquest és un senyal d’alerta, encara que no vol dir que tots els enllaços siguin una trampa.
  3. Fixar-se si l’enllaç s’ha abreujat. La majoria dels enllaços d’un missatge fraudulent estan abreujats. Així, els ciberdelinqüents eviten que es vegi realment l’adreça on va dirigit.
  4. Verificar el remitent. Si és un número massa llarg (més de 10 xifres), hem de sospitar. Per norma general, aquests números es creen internacionalment, per això inclouen moltes xifres.

I si ens queda algun dubte… és millor que ens posem en contacte amb l’entitat. Si pensem que som davant d’un missatge fraudulent, el millor és comunicar-se amb l’empresa que envia l’SMS per comprovar-ho.

“Phishing”: correus que enganyen

És una de les més conegudes. Per perpetrar l’atac, suplanten una entitat legítima amb un correu electrònic –es fan passar per un banc, una empresa, un servei tècnic, un organisme públic…– i llancen un ham per aconseguir la seva meta. La trampa té forma de missatge de caràcter urgent o atractiu. L’objectiu és que, quan la víctima el llegeixi, no tingui temps d’aplicar el sentit comú i punxi l’enllaç.

“Smishing”: fraus per SMS

Una variant de l’estafa anterior i molt habitual en aquests últims temps és l’smishing. En aquest cas, el delinqüent executa el frau amb l’enviament de SMS. Per fer-ho, se sol fer passar per alguna entitat financera o organisme públic i llança missatges en to d’alerta: “Hem identificat moviments sospitosos en el seu compte, accedeixi aquí per revisar si els ha realitzat”, “S’ha aplicat un càrrec al seu compte, comprovi-ho en aquest enllaç”…

“La banca ha llançat campanyes per avisar els clients d’aquestes amenaces. Els recorden que el banc no demanarà mai claus o dades personals amb un SMS, que no envia mai enllaços ni sol·licita informació amb trucades de telèfon”, apunta Ruth García, tècnic en ciberseguretat de l’Incibe.

“Vishing”: trucades que no ho són

Altres vegades, el delinqüent suplanta la identitat d’un proveïdor de serveis –la companyia de la llum, el gas o de telecomunicacions, per exemple–, d’un organisme públic –com la Seguretat Social o l’Agència Tributària– o d’una entitat financera mitjançant una trucada de telèfon, amb la finalitat de sostreure informació privada i sensible de la víctima. El modus operandi sol seguir un mateix patró: per exemple, el ciberdelinqüent es fa passar per treballador del servei d’Atenció al Ciutadà a fi d’obtenir dades personals o bancàries. “Fins i tot poden manipular el CLI [call line identification], que és el número de telèfon que apareix a la nostra pantalla, mitjançant diversos programes especialitzats. Així, ens fan creure que realment ens truquen del banc”, adverteix Diego Alejandro.

Què podem fer si ens han estafat

L’oficina de seguretat de l’internauta explica els passos que cal seguir si hem estat víctimes de fraus o delictes per internet.

  1. Contrasenyes i targetes. El més urgent és canviar les contrasenyes i, si hi ha un càrrec indegut, bloquejar les targetes i contactar com més aviat millor amb el banc per impedir el pagament o bloquejar-lo.
  2. Informar. De vegades, només cal reportar el problema al servei o l’empresa implicada (sempre que el web sigui legal). Una xarxa social permet denunciar un perfil fals o una suplantació d’identitat. A més, els serveis de correu electrònic disposen de mètodes de recuperació del compte si ha estat hackejat. També es poden eliminar comentaris d’un fòrum que atempten contra l’honor i la intimitat d’una persona si es contacta amb l’administrador del lloc.
  3. Acudir a l’Oficina Municipal d’Informació al Consumidor. Una de les funcions que té és tramitar, amb uns procediments de conciliació, les reclamacions dels consumidors per problemes en compres de productes o la contractació de serveis. També s’ocupen d’aquests fraus.
  4. Denunciar. Si el problema no es pot solucionar, s’ha d’interposar la denúncia davant les Forces i els Cossos de Seguretat de l’Estat: Policia Nacional, Guàrdia Civil, Ertzaintza, Mossos d’Esquadra o Policia Foral.

“Shoulder surf”: al carrer

Encara que sembli mentida, fins i tot ens poden robar credencials i contrasenyes, contactes, codis de desbloqueig –com el número PIN– i dades bancàries en situacions tan quotidianes com un desplaçament en transport públic, en un caixer automàtic o quan mantenim una conversa per telèfon al carrer. En això consisteix la tècnica de shoulder surf: mirar per sobre de l’espatlla d’algú que consulta el mòbil per aconseguir informació.

“Quid pro quo”: rifes i descomptes

En aquest cas, es promet un benefici (en general, en forma de regal, diners o accés gratuït a plataformes de descomptes) a canvi d’informació personal. “Són els típics sortejos gratuïts que ens arriben al telèfon per guanyar premis molt temptadors o per accedir a cupons amb descomptes. La gent creu que participa en aquest tipus de rifes i omple una enquesta. La informació privada que ha facilitat s’utilitza després per cometre un frau”, confirma Ruth García.

“Pharming” i “Baiting”: un pas més enllà

Altres trampes són una mica més sofisticades. Ocorre amb el pharming. Els agressors redirigeixen l’usuari a pàgines web fraudulentes mitjançant un programa que conté un codi maliciós. O el baiting: ajudant-se d’un esquer, els atacants aconsegueixen que la víctima infecti el seu equip informàtic o, que sense saber-ho, comparteixi informació personal amb un programa maliciós. El mitjà més utilitzat són els dispositius USB infectats que els delinqüents deixen abandonats en llocs estratègics, com ara llocs públics amb molta afluència de persones, que poden ser aparcaments, hospitals, centres comercials o d’altres.

L’INCIBE disposa d’una sèrie d’aplicacions per a aprendre sobre ciberseguretat jugant.

Consells per a no caure en la trampa

El web Internet Segura for Kids i la Guàrdia Civil ofereixen una sèrie d’advertiments perquè ens mantinguem fora de perill d’aquests ciberatacs:

  • Fer servir contrasenyes segures (combinació de lletres, números i signes) i un segon factor d’autenticació per a protegir els comptes.
  • Evitar fer clic als enllaços que apareixen als correus electrònics o als missatges privats i no descarregar arxius adjunts si no estem completament segurs del contingut. Sempre ens hem de fixar en les adreces i en els enllaços curts.
  • No facilitar mai informació personal, com ara nom, cognoms, telèfon, adreça postal, correu electrònic o fotos.
  • Escriure directament l’adreça a la barra de navegació o fer servir una aplicació oficial. Evitem seguir enllaços que arribin per missatges o correus.
  • Comprovar l’autenticitat de les aplicacions, fixant-nos bé en el nom, el desenvolupador i les opinions d’altres usuaris, i valorar si es proporcionen els permisos que sol·licita.
  • Actualitzar amb regularitat el sistema operatiu.
  • Fer servir un antivirus amb llicència i actualitzat.
  • Desconfiar de missatges curts i estranys que ens puguin entrar pel mòbil o per les xarxes socials.