Correu brossa (spam) - TIC

Correu brossa (spam)

• El correu brossa (spam, en anglès) són aquells missatges enviats sense el consentiment del receptor a adreces de correu obtingudes de forma fraudulenta. És a dir, missatges no desitjats.
• Per quins motius rebem missatges d'aquest tipus?
  • Per fer-nos publicitat - Fer un ús indegut de llistes de correus electrònics és una forma fàcil de fer arribar publicitat d'un producte a molta gent.
  • Per obtenir dades personals - Aquesta pràctica coneguda com a phishing (pesca en anglès) pretén obtenir dades del destinatari.
  • Per transmetre algun tipus de programari maliciós - El programari maliciós s'instal·larà al nostre ordinador si obrim un fitxer adjunt o accedim a una plana web a través d'un link que ens proposen.
• Hi ha dos tipus de remitents:
  • Algú ha creat una adreça de correu des d'on enviar correu brossa. Aquests correus són fàcils de detectar de forma automàtica pels sistemes anti-spam i normalment no arriben al destinatari.
  • Algú utilitza la bústia de correu d'una altra persona sense el seu consentiment per enviar correu brossa. Per fer-ho, o bé ha robat les seves credencials o bé ha instal·lat algun programari maliciós en el seu ordinador. Són els més perillosos perquè acostumen a saltar les barreres de detecció automàtica. Cal sospitar del contingut.
• No es pot considerar correu brossa el correu publicitari que rebem si hem cedit voluntàriament les nostres dades a una empresa o entitat. En aquests casos la llei obliga a facilitar la baixa d'aquests enviaments i normalment el mateix correu porta un accés per fer-ho.
• Davant del més mínim dubte, no accedeixis a cap enllaç, no descarreguis cap fitxer adjunt i no contestis el correu.

Phishing

• El phishing o suplantació d'identitat és una estafa que consisteix a suplantar la identitat d'una persona, empresa o institució de confiança per aconseguir dades personals com ara dades bancàries, adreça o les credencials d'usuari o per transmetre algun tipus de programari maliciós.
• La propagació del phishing normalment es realitza a través del correu electrònic, tot i que també es pot propagar per altres canals com les xarxes socials (Facebook, Twitter, Whatsapp,...) o el SMS.
• Funciona de la següent manera: rebem un correu electrònic, SMS o missatge de xarxes socials amb aparença real i un enllaç a una web externa falsa controlada pels ciberdelinqüents. La web falsa suplanta la web o servei original esperant que "piquem" i introduïm les nostres dades, passant d'aquesta manera a ser "pescats". També poden enllaçar directament a la descàrrega d'un programari maliciós.
• Amb les dades obtingudes, els ciberdelinqüents poden suplantar la nostra identitat, realitzar estafes económiques directament o vendre aquestes dades a tercers.
• El phishing pot ser indiscriminat o dirigit. 
  • El phishing indiscriminat fa servir l'spam per arribar al màxim possible de víctimes. Suplanten a bancs o serveis de missatgeria coneguts i el que busquen és obtenir dades o infectar al màxim nombre d'usuaris. La seva força és el volum.
  • El phishing dirigit o spear phishing està orientat a una organització o persona concreta. Els atacants utilitzen uns correus molt més preparats per generar confiança al destinatari. Les webs falses o el programari maliciós que distribueixen també estan personalitzats per generar confiança. La seva força està en la dificultat per identificar-ho.

Detectem i combatem el phishing

• Revisa acuradament l'adreça de correu electrònic del remitent i els enllaços inclosos en el cos del missatge.
• Els missatges relacionats amb el phishing fan servir el que s'anomena l'enginyeria social, és a dir, fent servir la persuasió i l'engany busquen guanyar la nostra confiança.
• Fan servir excuses com canvis urgents en les condicions de serveis, premis, promocions o multes per forçar-nos a prendre una decisió ràpidament.
• Si el phishing és indiscriminat acostumen a ser generats de manera automàtica i sovint contenen errors gramaticals, errors ortogràfics o paraules traduïdes en altres idiomes que ens han de fer sospitar.
• Com més valor tingui el recurs al qual suposadament enllaça el phishing, més cura cal tenir. Compte sobretot amb els correus de bancs, empreses de paqueteria i de l’administració pública que demanen canvis de contrasenyes, confirmar un compte o realitzar un pagament bancari; sempre són falsos.
• Si reps un missatge sospitós d'una entitat coneguda no facis clic als enllaços ni descarreguis fitxers adjunts. Contacta amb l'entitat a través d'un canal oficial i fiable per confirmar la legitimitat del missatge.
• Rebutja de forma sistemàtica qualsevol correu electrònic o comunicat per al que sigui necessari facilitar dades confidencials. Contrasta la informació per altres vies. 
• Si has introduït credencials, canvia la contrasenya del servei afectat i de qualsevol altre on fessis servir la mateixa contrasenya de forma immediata.
• Pots reportar l'intent de phishing a organismes com l'INCIBE (Instituto Nacional de Ciberseguridad) o l'Agència de Ciberseguretat de Catalunya.

Per saber-ne més

• Aprèn més sobre com combatre el phishing: https://www.incibe.es/ciudadania/tematicas/ingenieria-social-fraudes-online/phishing
• Notícies: "L'estafa per phishing cada cop més selectiva".
• L’origen de la paraula spam prové d’una marca de menjar enllaunat que s'enviava massivament als soldats durant la guerra i que els Monty Python van utilitzar en un gag:
  • Pàgina de l'empresa Hormel Foods: Productes SPAM
  • Vídeo de Monty Python
• Enllaços per reportar phishing i altres ciberestafes:
  • https://www.incibe.es/ciudadania/ayuda/reporte-de-fraude
  • https://ciberseguretat.gencat.cat/ca/actualitat/alertes/formulari-per-comunicar-ciberestafes/