Correu brossa (spam)

  • El correu brossa (spam, en anglès) són aquells missatges enviats sense el consentiment del receptor a adreces de correu obtingudes de forma fraudulenta. És a dir, missatges no desitjats.
  • Per quins motius rebem missatges d'aquest tipus?
    • Per fer-nos publicitat - Fer un ús indegut de llistes de correus electrònics és una forma fàcil de fer arribar publicitat d'un producte a molta gent.
    • Per obtenir dades personals - Aquesta pràctica coneguda com a phishing (pesca en anglès) pretén obtenir dades del destinatari.
    • Per transmetre algun tipus de programari maliciós - El programari maliciós s'instal·larà al nostre ordinador si obrim un fitxer adjunt o accedim a una plana web a través d'un link que ens proposen.
  • Hi ha dos tipus de remitents:
    • Algú ha creat una adreça de correu des d'on enviar correu brossa. Aquests correus són fàcils de detectar de forma automàtica pels sistemes anti-spam i normalment no arriben al destinatari.
    • Algú utilitza la bústia de correu d'una altra persona sense el seu consentiment per enviar correu brossa. Per fer-ho, o bé ha robat les seves credencials o bé ha instal·lat algun programari maliciós en el seu ordinador. Són els més perillosos perquè acostumen a saltar les barreres de detecció automàtica. Cal sospitar del contingut.
  • No es pot considerar correu brossa el correu publicitari que rebem si hem cedit voluntàriament les nostres dades a una empresa o entitat. En aquests casos la llei obliga a facilitar la baixa d'aquests enviaments i normalment el mateix correu porta un accés per fer-ho.
  • Davant del més mínim dubte, no accedeixis a cap enllaç, no descarreguis cap fitxer adjunt i no contestis el correu.

Phishing

  • El phishing o suplantació d'identitat és una estafa que consisteix a suplantar la identitat d'una persona, empresa o institució de confiança per aconseguir dades personals com ara dades bancàries, adreça o les credencials d'usuari o per transmetre algun tipus de programari maliciós.
  • La propagació del phishing normalment es realitza a través del correu electrònic, tot i que també es pot propagar per altres canals com les xarxes socials (Facebook, Twitter, Whatsapp,...) o el SMS.
  • Funciona de la següent manera: rebem un correu electrònic, SMS o missatge de xarxes socials amb aparença real i un enllaç a una web externa falsa controlada pels ciberdelinqüents. La web falsa suplanta la web o servei original esperant que "piquem" i introduïm les nostres dades, passant d'aquesta manera a ser "pescats". També poden enllaçar directament a la descàrrega d'un programari maliciós.
  • Amb les dades obtingudes, els ciberdelinqüents poden suplantar la nostra identitat, realitzar estafes económiques directament o vendre aquestes dades a tercers.
  • El phishing pot ser indiscriminat o dirigit. 
    • El phishing indiscriminat fa servir l'spam per arribar al màxim possible de víctimes. Suplanten a bancs o serveis de missatgeria coneguts i el que busquen és obtenir dades o infectar al màxim nombre d'usuaris. La seva força és el volum.
    • El phishing dirigit o spear phishing està orientat a una organització o persona concreta. Els atacants utilitzen uns correus molt més preparats per generar confiança al destinatari. Les webs falses o el programari maliciós que distribueixen també estan personalitzats per generar confiança. La seva força està en la dificultat per identificar-ho.

Detectem i combatem el phishing

  • Els missatges relacionats amb el phishing fan servir el que s'anomena l'enginyeria social, és a dir, fent servir la persuasió i l'engany busquen guanyar la nostra confiança.
  • Fan servir excuses com canvis urgents en les condicions de serveis, premis, promocions o multes per forçar-nos a prendre una decisió ràpidament.
  • Si el phishing és indiscriminat acostumen a ser generats de manera automàtica i sovint contenen errors gramaticals, errors ortogràfics o paraules traduïdes en altres idiomes que ens han de fer sospitar.
  • Com més valor tingui el recurs al qual suposadament enllaça el phishing, més cura cal tenir. Compte sobretot amb els correus de bancs on demanen canvis de contrasenyes, confirmar un compte o confirmar un pagament bancari; sempre són falsos.
  • Rebutja de forma sistemàtica qualsevol correu electrònic o comunicat per al que sigui necessari facilitar dades confidencials. Contrasta la informació per altres vies. 

Per saber-ne més