Per intentar enganyar els clients d'entitats financeres, els ciberdelinqüents utilitzen la seva arma més efectiva: l'enginyeria social. Aquesta consisteix a manipular psicològicament les persones perquè facin allò que vol el criminal, ja sigui clicar a enllaços maliciosos, baixar arxius infectats o revelar informació confidencial.
Perquè aquests atacs tinguin èxit, els criminals necessiten un esquer, un missatge convincent i atractiu capaç de generar interès i sensació d'urgència a la víctima. Aquests missatges es renoven constantment per adaptar-se als temes de més actualitat.
Per exemple, des de l'inici de la pandèmia mundial s'han intensificat els atacs amb temàtiques relacionades amb el coronavirus. Els períodes anuals de declaració de la renda també suposen una excusa perfecta per a l'engany. De la mateixa manera, quan es va anunciar la fusió entre CaixaBank i Bankia, els criminals van començar a utilitzar aquest argument per intentar enganyar les seves víctimes, per aquesta raó és fonamental actuar amb la màxima cautela.
Com poden arribar aquestes estafes?
- Correus de phishing
Perquè els clients confiïn en els correus electrònics fraudulents, els ciberdelinqüents solen suplantar la identitat de la seva entitat financera mitjançant enginyeria social. Poden persuadir la víctima perquè cliqui en un enllaç maliciós que infecti el seu equip, generalment obrint una pàgina falsa que imita la del seu banc, i interceptar posteriorment el seu usuari i clau d'accés a la banca digital. - Missatges de smishing
Aquest tipus d'estafa utilitza els missatges de SMS o de missatgeria instantània tipus WhatsApp per enganyar els clients i aconseguir les seves claus d'accés a la banca digital, la infecció dels seus dispositius, o per animar-los que truquin a algun número de telèfon de tarifació addicional, entre d'altres. Per aconseguir-ho, igual que amb els atacs de phishing, els estafadors poden suplantar la identitat del banc per fer creure als clients que, per exemple, han rebut una reclamació urgent de pagament. - Trucades de vishing
Fent-se passar per gestors de l'entitat, els ciberdelinqüents poden trucar per telèfon als clients per parlar-los, entre molts altres assumptes, d'un producte interessant o d'un problema amb el seu compte. Sempre intentant generar un clima de confiança, apressen la víctima perquè els faciliti informació confidencial per poder fer operacions fraudulentes en nom seu.
Com protegir-se?
- Cercar la coherència en el missatge:
En rebre un nou missatge, sigui pel canal que sigui, se n'ha de valorar la coherència abans de fer qualsevol altra acció: “Té sentit que el meu banc, aquesta persona o qualsevol altra empresa m'enviï aquest missatge?” Els regals inesperats i les peticions urgents han d'estar sempre sota sospita, especialment quan l'argument és de rigorosa actualitat. - Analitzar el remitent:
Quan es rep un nou correu, abans d'obrir possibles adjunts o enllaços, és imprescindible analitzar amb detall l'adreça del remitent i no fiar-se només del nom que apareix, ni tampoc de la signatura inclosa en el cos del missatge. - Comprovar els enllaços:
Per assegurar que els enllaços dels missatges són legítims, és necessari comprovar a on condueixen abans d'obrir-los. Si aquests són en un correu electrònic, es pot passar el cursor per damunt de l'enllaç sense clicar-ho per previsualitzar l'adreça web. En qualsevol cas, sempre és millor teclejar al navegador l'adreça web del lloc al qual volem anar i evitar, sempre que sigui possible, clicar en enllaços. - Mai no revelar contrasenyes:
Ni CaixaBank ni cap altra empresa o institució legítima demana als seus clients que revelin les claus d'accés de la seva banca digital o servei online. Mai no s'han de compartir les contrasenyes amb ningú. - Encara es tenen sospites?
Si sorgeixen dubtes de la legitimitat d'un missatge, provingui d'un company de feina, un amic o una empresa, sempre és aconsellable contactar amb el remitent per un altre canal (telefònicament, per exemple) per confirmar-la.
El sentit comú: la millor defensa contra l'enginyeria social
Si es rep un missatge amb un argument de màxima actualitat que incita a obrir un annex o clicar en un enllaç, s'ha de sospitar i contactar abans amb l'entitat corresponent per confirmar que la petició és legítima.
Les estafes digitals només funcionen si les víctimes es deixen enganyar i fan l'acció que el criminal vol, una cosa molt difícil d'aconseguir si es prenen precaucions i s'apliquen les mesures de seguretat recomanades.
Per aquest motiu, l'aprenentatge constant i el sentit comú són i seran el millor aliat per a una vida digital més segura.