Phishing, Vishing i Smishing

PHISHING

Aquesta tècnica es basa en l’enviament de correus electrònics que imiten icones, logos, formats, etc. característics de remitents coneguts, com, per exemple, proveïdors de referència de serveis tecnològics, o prestigioses xarxes socials. Algú desprevingut podria, sense les comprovacions de seguretat necessàries, confondre el contingut d’aquests missatges i prendre’ls per veritables, tenint en compte la confiança que genera a la víctima la suposada autenticitat del remitent. Imitant els detalls continguts en correus legítims, el phishing dissimula, sota la falsa aparença dels elements presos de fonts fàcilment identificables, una bateria de recursos (enllaços, etc.) que busquen enganyar la seva víctima, perquè aquesta, sense ser conscient d’això, comparteixi amb l’atacant informació sensible (credencials, comptes bancaris, etc.), o activi contingut maliciós (malware, etc.) que comporti greus conseqüències.

Amb la irrupció de la intel·ligència artificial, els atacs de phishing han guanyat en sofisticació. Els ciberdelinqüents empren models generatius per a redactar missatges sense errors gramaticals, imitar estils de comunicació corporativa i personalitzar els atacs segons el perfil de la víctima, la qual cosa els fa molt més convincents i difícils de detectar.

SMISHING

A diferència de l’anterior, el canal de comunicació ja no és el correu electrònic, sinó les aplicacions de missatgeria instal·lades en els telèfons intel·ligents. L’emissor fraudulent burla la confiança de la seva víctima i aconsegueix, mitjançant missatges de text enganyosos, obtenir dades com, per exemple, números de targetes de crèdit. S’explota la ingenuïtat de la persona objectiu de l’estafa, apressant-lo a iniciar una acció que, suposadament, ajudarà a evitar un perill, o una situació greu, quan, en realitat el que persegueix és obtenir informació que reporti algun guany a l’atacant.

La intel·ligència artificial també ha potenciat el smishing, permetent automatitzar l’enviament massiu de missatges personalitzats i generar textos que simulen alertes legítimes amb gran precisió, augmentant la taxa d’èxit d’aquests fraus, per això és important conèixer els patrons d’aquestes estafes per a ser capaces de detectar-les amb més facilitat.

VISHING

Aquest recurs també es basa en l’enginyeria social i en la suplantació d’identitat, com hem vist en les dues tècniques anteriors. En aquesta ocasió, la via triada per a perpetrar l’estafa són les crides de veu. Els ciberdelinqüents enganyen mitjançant comunicació telefònica fraudulenta a les seves víctimes, fent-los creure que estan parlant amb alguna organització legítima (com una entitat pública, per exemple) per a, mitjançant subterfugis, aconseguir informació.

Gràcies a la IA, els atacs de vishing han evolucionat cap a l’ús de veus sintètiques que imiten amb gran realisme a persones reals o representants institucionals, la qual cosa dificulta encara més la identificació de l’engany.

SIMILITUDS I DIFERÈNCIES ENTRE EL PHISHING, VISHING I SMISHING

Aquests mètodes tenen un objectiu comú: robar informació sensible, com contrasenyes, dades bancàries o números de targetes de crèdit, però cadascun utilitza un canal de comunicació diferent. No obstant això, tots es basen en tàctiques similars de manipulació psicològica, un component clau de l’enginyeria social.

• Objectiu comú: Els tres atacs estan dissenyats per a obtenir informació personal o financera de les víctimes.
• Tàctiques de manipulació psicològica: En tots els casos, els ciberdelinqüents empren estratègies que manipulen les emocions i comportaments de les víctimes, creant una falsa sensació d’urgència o confiança perquè els usuaris lliurin la informació sol·licitada.
• Comunicacions fraudulentes: Els tres tipus d’atacs recorren a l’ús de missatges que semblen provinents d’una institució legítima com, per exemple, un grup financer, una empresa coneguda o una autoritat de confiança, quan en realitat són delictius.

Encara que els tres atacs persegueixen el mateix objectiu, es diferencien en els canals que utilitzen els ciberdelinqüents per a obtenir la informació.

TIPUS DE MISSATGES D’ENGINYERIA SOCIAL

Els ciberdelinqüents usen diverses estratègies per a enganyar les víctimes, depenent del tipus d’entitat que intenten suplantar:

1. Enginyeria social en l’àmbit bancari: Els ciberdelinqüents es fan passar per institucions financeres legítimes amb la finalitat d’obtenir informació sensible. Utilitzen pretextos com bloquejos de comptes, activitat sospitosa o càrrecs no reconeguts per a enganyar les víctimes.
2. Enginyeria social en entitats públiques: Els atacants suplanten la identitat de, per exemple, organismes i entitats governamentals, enviant correus electrònics que aborden temes de devolucions d’impostos, pagament de multes de trànsit, sol·licituds d’ajuts, entre altres, amb la finalitat de robar dades personals.
3. Enginyeria social a entitats privades: Els ciberdelinqüents apel·len als sentiments dels usuaris a través d’assumptes i missatges dissenyats per a captar la seva atenció. Entre les empreses més suplantades es troben companyies elèctriques, supermercats i botigues en línia, empreses de missatgeria i transport, operadores de telefonia, xarxes socials, plataformes de videojocs, serveis d’emmagatzematge al núvol, proveïdors de serveis de correu electrònic i plataformes d’entreteniment i streaming.

INDICIS SOSPITOSOS QUE AJUDEN A IDENTIFICAR AQUESTS ATACS

Errors gramaticals i ortogràfics: Els missatges fraudulents acostumen a contenir errors en la seva redacció, cosa pot indicar que no són d’una font de confiança.

Sol·licitud d’informació sensible: Es sol·liciten dades que una empresa legítima no demanaria per aquest mitjà, com contrasenyes, PIN, claus de signatura o números d’identificació personal.

Enllaços o arxius sospitosos: Els missatges inclouen enllaços que redirigeixen a llocs web falsos o maliciosos, o bé arxius adjunts que podrien contenir malware o virus.

Urgència o amenaces: El missatge genera un sentit d’urgència, pressionant el destinatari perquè actuï ràpidament sota l’amenaça de sofrir conseqüències, com el tancament de compte, multes o problemes de seguretat.

COM EVITAR SER VÍCTIMA D’AQUESTS ATACS

• No obrir correus ni missatges de desconeguts: Elimina’ls i bloqueja el remitent. No responguis ni comparteixis informació personal.
• Verificar el remitent i els enllaços: Assegura’t que els missatges provenen de fonts de confiança abans de fer clic o proporcionar dades sensibles.
• Mantenir els dispositius i programari actualitzat: Instal·la actualitzacions de seguretat per a protegir-te de vulnerabilitats.
• Usar antivirus i seguretat mòbil: Instal·la i actualitza programari de seguretat per a detectar amenaces com malware i smishing.
• Activar l’autenticació de dos factors: Reforça la seguretat dels teus comptes sempre que sigui possible.
• Si reps un missatge sospitós, verifica la seva autenticitat: Contacta directament amb l’empresa a través del seu lloc web o número oficial.

EDUCACIÓ I CONSCIENCIACIÓ

Conscienciar els empleats sobre els riscos cibernètics és crucial per a protegir la informació de l’organització. Els ciberdelinqüents exploten la falta de coneixement i confiança dels empleats per a executar atacs com phishing, vishing i smishing. Sense una formació adequada, els empleats poden convertir-se en un objectiu fàcil, comprometent dades sensibles i la seguretat empresarial. Segons l’informe Verizon DBIR 2023, el 74% de les bretxes de seguretat involucren el factor humà, ja sigui per error, ús indegut de privilegis, ús de credencials robades o enginyeria social.

Una força laboral informada actua com a primera línia de defensa. Programes de capacitació, simulacions d’atacs i l’actualització constant de bones pràctiques ajuden els empleats a detectar i prevenir amenaces. Fomentar una cultura de ciberseguretat redueix significativament el risc d’atacs i enforteix la seguretat organitzacional.

A JakinCode t’ajudem a protegir el teu negoci desenvolupant una cultura de consciència cibernètica enfocada en la seguretat de la informació.