“Mugikorrak ziria sartu dit”

Iruzurrezko deiak, gezurrezko SMSak, mezu elektroniko engainagarriak... Smartphoneek ate asko zabaldu dizkiete zibergaizkileei, eta eginahalak egiten dituzte gure datu pertsonalak lortzeko, horrela betetzen baitituzte beren sakelak. Azaldu egingo dizugu nola antzeman iruzur horiek, inork ez diezazun ziririk sartu.
1 ekaina de 2023

“Mugikorrak ziria sartu dit”

Anaren amak mugikorraren pantailari begiratu zionean, testu bidezko mezu labur eta zuzen bat irakurri zuen. Ustez bankuak bidali zion, eta hauxe zioen: “Gaurtik aurrera, ezingo duzu erabili bankuko txartela, aldaketak egin baititugu segurtasun politikan. Sar zaitez lotura honetan eta aktibatu ezazu berriro”. Loturan klik egin eta itxuraz finantza erakundearena zen orri batean sartu zen. Hala zela sinetsita, datu pertsonal guztiak sartu zituen. Iruzurra zen, jakina. Eta zibergaizkileak, datu eta gako guztiak eskuan zituela, nahiko denbora izan zuen biktimaren kontutik aurrezki guztiak eramateko. Haren arrastoari jarraitzeko modurik izan ez zezan, kriptotxanponen txanpon-kontuetara bideratu zuen dirua (gaizkile taldearen kontrolpean zeuden kontu horiek).

Egiazko historia hori ez da bakarra; urtero ehunka kasu iristen dira Zibersegurtasuneko Espainiako Institutura (Incibe). Halako iruzurrak gero eta ohikoagoak dira; telefono mugikorraren bidez iristen dira SMS eran, posta elektronikoaren bidez edo berehalako mezularitza aplikazioen bidez (WhatsApp eta halakoak). 2022an bakarrik, Incibek 120.000 gertaera kudeatu zituen iruzur horiekin, aurreko urtean baino %9 gehiago. Espainiako Inteligentzia Zentroak berak (CNI) onartzen du gailu mugikorrak eta aplikazioak tresna aproposak direla eraso horiek hedatzeko; erasoak, gainera, gero eta konplexuagoak eta sofistikatuagoak dira, eta sistema eragile guztiei eragiten diete. Inor ez dago salbu tranpa horietatik, zibererasoen jomuga berdin-berdin izan daitezkeelako erakunde ofizialak, korporazioa handiak, enpresa txiki eta ertainak eta, jakina, edozein internauta.

Nola lortzen dute gu engainatzea?

Zibergaizkileen helburua izaten da ahalik eta biktima gehiena lortzea albait inbertsio txikiena eginez. Horretarako, ingeniaritza sozialeko metodoetara jotzen dute. Kontzeptu hori errealitate batean oinarritzen da: errazagoa da pertsonak maneiatzea makinak baino. Eraso horiek egiteko, manipulazio psikologikoko teknikak erabiltzen dituzte, erabiltzaileek informazio konfidentziala eman dezaten edo erasotzaileari onura ekar diezaiokeen edozein ekintza egin dezaten. “Atseginak direla sinetsarazten dute, konfiantzazkoak edo autoritatea dutenak, eta engainatu egiten dituzte pertsonak, haiengan konfiantza izan dezaten”, dio Ruben Dominguezek, Pantallas Amigas elkarteko bozeramaileak.

Eta telefonoak dira biktimengana iristeko biderik eraginkorrena. “Mugikorretan posta elektronikoa kontsultatzen dugu, Interneten nabigatzen dugu, sare sozialak ikusten ditugu, egunero komunikatzen gara… Gaizkileek badakite eta errealitate berri horretara egokitzen dira”, azaldu du Diego Alejandrok, Espainiako Poliziaren Ziberdelinkuentziaren Unitate Nagusiko ikuskatzaile buruak. Erasotzaileek hainbat metodo erabiltzen dituzte smartphoneetara sartzeko. “Erabiltzaileei buruzko informazio pertsonala duten datu-baseak erosten dituzte, besteak beste haien mugikorren zenbakiak, helbide elektronikoak, posta helbideak… Gainera, web zerbitzu batek segurtasun eten bat duenean, bezeroen datuak agerian geratzen dira eta zibergaizkileak haietara sar daitezke”, ohartarazi du Dominguezek. Delituak egiteko, iruzurrezko tekniken zerrenda luzea egin dute iruzurgileek, biktima izan daitezkeenei gailu mugikorren bidez bidaltzeko.

Iruzurrezko mezu bat antzemateko trikimailuak

Ezinbestekoa da presaka ez ibiltzea eta jasotzen ditugun mezuak ongi irakurtzea, tranpetan ez erortzeko. Jarraibide erraz batzuk kontuan hartzea oso erabilgarria izan daiteke.

  1. Egiaztatu ortografia eta idazkera. Iruzurrezko mezu askok ortografia eta idazkera akatsak izaten dituzte, itzultzaile automatizatuak erabiltzen direlako.
  2. Ikusi ea loturarik erantsi duten. Iruzurrezko SMSek esteka bat izaten dute beti haren bidez erasoa egiteko. Normalean HTTP erakok dira, eta zifratuta ez daudenez, horiek dira arriskutsuenak. Hori alerta seinale bat da, baina ez du esan nahi lotura guztiak tranpa bat direnik.
  3. Begiratu esteka laburtuta ote dagoen. Iruzurrezko mezu baten estekarik gehienak laburtuta egoten dira. Horrela, ez da modurik izaten egiaz zein helbidetara eramango gaituen jakiteko.
  4. Egiaztatu nork bidali duen. Oso zenbaki luzea bada (10 zifratik gorakoa), susmagarria izango da. Oro har, zenbaki horiek nazioartean sortzen dira, eta, beraz, zifra asko dituzte.

Eta zalantza izanez gero… jarri harremanetan erakundearekin. Iruzurrezko mezu baten aurrean gaudela uste badugu, SMSa bidaltzen duen enpresarekin harremanetan jartzea da onena,
eta egiaztatzea.

‘Phishing’: mezu engainagarriak

Guztietan ezagunenetakoa da. Erasoa egiteko, posta elektroniko bidez ordezkatzen dute egiazko erakundea —itxura egiten banku bat direla, enpresa bat, zerbitzu tekniko bat, erakunde publiko bat…—, eta amu bat botatzen dute helburua lortzeko. Premiazko mezu baten edo mezu erakargarri baten itxura ematen diote tranpari. Helburua izaten da biktimak, irakurtzean, pentsatzeko denborarik ez izatea eta lotura sakatzea.

‘Smishing’: SMS bidezko iruzurrak

Aurreko iruzurraren aldaera bat da smishinga, eta oso ohikoa azken urteotan. Kasu horretan, gaizkileak SMS bidez egiten du iruzurra. Horretarako, finantza erakunderen baten edo erakunde publikoren baten itxurak egin ohi ditu, eta alerta kutsuko mezuak igortzen: “zure kontuan mugimendu susmagarriak antzeman ditugu, sartu hemen eta egiaztatu”, “zure kontuan zordunketa bat egin da, egiazta ezazu lotura honetan”…

“Bankuek kanpainak egin dituzte bezeroei mehatxu horien berri emateko. Gogorarazten diete bankuak ez duela inoiz gako edo datu pertsonalik eskatuko SMS bidez, ez duela inoiz estekarik bidaliko eta ez duela informaziorik eskatuko telefono deiekin”, adierazi du Ruth Garciak, Incibeko Zibersegurtasuneko teknikariak.

‘Vishing’: egiazkoak ez diren deiak

Beste batzuetan, delitugileak telefono dei bat egiten du zerbitzu hornitzaile baten ordezkaria dela esanez —argiaren, gasaren edo telekomunikazioen konpainiakoa, adibidez—, erakunde publiko batekoa —hala nola Gizarte Segurantzakoa edo Zerga Agentziakoa— edo finantza-erakunde batekoa, eta informazio pribatua eta sentibera emateko eskatzen dio biktimari. Jokabidea berdin samarra izaten da beti. Adibidez, zibergaizkileak Herritarrentzako Arreta Zerbitzuko langile gisa aurkezten du bere burua datu pertsonalak edo bankukoak eskuratzeko. “CLIa [call line identification] manipulatzera ere irits daitezke, gure mugikorraren pantailan agertzen den telefono zenbakia alegia, hainbat software espezializaturen bidez. Hala, sinetsarazi egiten digute benetan gure bankutik deitzen digutela”, ohartarazi du Diego Alejandrok.

Zer egin ziria sartu digutenean

Internautaren segurtasun bulegoak azaltzen du zer-nolako pausoak eman behar diren internet bidez iruzur edo delituren bat jasan badugu.

  1. Pasahitzak eta txartelak. Pasahitzak aldatzea da premiazkoena, eta, okerreko zordunketaren bat egin badigute, txartelak blokeatu eta bankuarekin lehenbailehen harremanetan jartzea, ordainketa eragotzi edo blokeatzeko.
  2. Jakinarazi. Batzuetan, nahikoa da tartean dagoen zerbitzu edo enpresari jakinaraztea arazoaren berri (webgunea legezkoa bada).  Sare sozial batek aukera ematen du profil faltsu bat edo nortasun ordezkapen bat salatzeko.  Gainera, posta elektronikoko zerbitzuek badituzte metodoak kontua berreskuratzeko, norbaitek hackeatu izanez gero.  Gunearen administratzailearekin harremanetan jarriz gero, pertsona baten ohorearen eta intimitatearen aurkako iruzkinak ere ezaba daitezke eztabaidagunetik.
  3. Kontsumitzaileak Informatzeko Udal Bulegora jo. Haren eginkizunetako bat da, adiskidetze prozeduren bidez, kontsumitzaileen erreklamazioen tramiteak egitea, produktuak erosteko edo zerbitzuak kontratatzeko garaian izan dituzten arazoak direla medio. Iruzur horietaz ere arduratzen dira.
  4. Salatu. Arazoa ezin bada konpondu, salaketa jarri behar da Segurtasun Indar eta Gorputzetan: Espainiako Polizia, Guardia Zibila, Ertzaintza, Mossos d’Esquadra edo Foruzaingoa.

‘Shoulder surfing’: kalean

Gezurra badirudi ere, eguneroko zereginetan ari garela ere lapurtu diezazkigukete kredentzialak eta pasahitzak, kontaktuak, desblokeatzeko kodeak –PIN zenbakia, esaterako– eta bankuko datuak, adibidez garraio publikoan goazela, kutxazain automatiko batean gabiltzala edo kalean telefonoz hitz egiten ari garela. Horretan datza shoulder surfing teknika: mugikorrarekin ari den norbaiten bizkarretik begiratzea informazioa lortzeko.

‘Quid pro quo’: zozketak eta deskontuak

Halakoetan, onura bat agintzen dute (normalean, opari bat, dirua edo doako sarbidea deskontu plataformetara), informazio pertsonalaren truke. “Doako zozketa tipikoak dira, eta sari tentagarriak irabazteko edo kupoi deskontudunak eskuratzeko iristen zaizkigu telefonora. Jendeak uste du horrelako zozketetan parte hartzen ari dela, eta inkesta bat betetzen du. Eman duen informazio pribatu hori iruzur egiteko erabiltzen da gero”, baieztatu du Ruth Garciak.

‘Pharming’ eta ‘Baiting’: beste pauso bat

Beste tranpa batzuk sofistikatuagoak dira. Pharminga esaterako. Erasotzaileek iruzurrezko web-orrietara bideratzen dute erabiltzailea, kode maltzur bat duen malware baten bidez. Edo baiting delakoa: amu bat erabiliz, erasotzaileek lortzen dute biktimak bere gailu informatikoa infektatzea edo, bestela, malware baten bidez informazio pertsonala partekatzea. Gaizkileek leku estrategikoetan abandonatuta uzten dituzten USB gailu kutsatuak erabiltzen dira gehien, adibidez, aparkalekuetan, ospitaleetan, merkataritza guneetan, eta abarretan.

INCIBE erakundeak badu aplikazio sorta bat zibersegurtasunari buruz ikasteko jolas eginez.

Zenbait aholku tranpan harrapa ez gaitzaten

Internet Segura for Kids webguneak eta Guardia Zibilak zenbait ohar egiten dituzte zibereraso horietatik salbu gelditzeko:

  • Erabili pasahitz seguruak (letren, zenbakien eta zeinuen konbinazioa) eta bigarren egiaztatze faktore bat kontuak babesteko.
  • Ez egin klik mezu elektronikoetan edo mezu pribatuetan agertzen diren esteketan, eta ez deskargatu erantsitako fitxategiak, edukia fidagarria dela erabat ziur ez badakigu. Beti arretaz aztertu behar dira helbide eta esteka laburrak.
  • Ez eman inoiz informazio pertsonalik, adibidez izen-abizenak, telefonoa, helbidea, posta elektronikoa edo argazkiak.
  • •datzi helbidea zuzenean nabigazio-barran edo erabili aplikazio ofizial bat. Ez sartu mezu bidez edo posta elektroniko bidez iristen zaizkigun loturetara.
  • Egiaztatu aplikazioak benetakoak direla, izenak, garatzaileak eta beste erabiltzaile batzuen iritziak kontuan hartuz, eta aztertu ea eskatzen dituen baimenak zentzuzkoak diren.
  • Eguneratu aldian behin sistema eragilea.
  • Erabili baimena duen antibirus bat; eguneratuta egon behar du.
  • Ez fidatu mugikorretik edo sare sozialetatik sar daitezkeen mezu labur eta arraroekin.