A la tardor, els delinqüents semblen intensificar les seves campanyes de phishing, ja que la rutina diària d'esborrar els missatges de correu electrònic i SMS no desitjats i maliciosos, s'allarga durant les escapades en aquesta època. Aquest mes d'octubre va ser el Mes de la Conscienciació sobre la Ciberseguretat i ESET, companyia pionera en protecció antivirus i experta en ciberseguretat, la qual ha dedicat part de la campanya al tema "Fight the Phish" i ha recopilat els millors consells perquè no siguem víctimes del phishing.

Les dures veritats

ESET ha realitzat una prova amb aquells usuaris que volguessin verificar els seus coneixements sobre el phishing. Durant la prova, un sorprenent percentatge dels participants han fallat a l'hora d'identificar correctament les campanyes d'aquest tipus: més del 60% dels usuaris no han encertat aquests casos en les quatre imatges de missatges reals i de phishing incloses en l'experiment. Anomenada ESET Phishing Derby i organitzada per l'equip d'ESET als Estats Units, la competició, de participació gratuïta, va ser dissenyada per demostrar com som de competents a l'hora d'identificar els missatges falsos davant dels reals. El sistema de puntuació es basa en la velocitat i distingir correctament els missatges, i poc menys del 40% dels participants van identificar correctament tres de les quatre mostres en un temps molt curt. Així que, en realitat, és probable que el nombre de persones que identifiquin els quatre correctament sigui menor. El qüestionari no es va dissenyar per generar estadístiques, sinó per crear consciència i ajudar a educar als participants sobre com identificar els correus electrònics falsos.

Curiosament, els resultats mostren una marcada diferència en la forma en què els participants més joves, d'entre 18 i 24 anys, van identificar correctament les mostres: el 47%, enfront només el 28% dels majors de 65 anys. Els participants entre 25 i 44 anys aconsegueixen el 45% i els de 45 a 64 anys, el 36%. El nombre de participants en la prova va ser de 4.292 persones, i les dades recollides són un subproducte i no un estudi acadèmic. Un resultat similar es va presentar quan el mateix test va ser realitzat per ESET Canadà al final de l'any 2020, amb un 68% de participants que no van identificar correctament les quatre mostres. El test està disponible en aquest enllaç.

En aquest sentit, quines mesures hem de prendre a partir dels resultats d'aquesta prova?

Els experts d'ESET recomanen, en primer lloc, ser cautelosos amb els correus electrònics i els missatges rebuts, així com adoptar altres bones pràctiques per estar segurs en línia. A més, és important traslladar les bones pràctiques a amics i familiars, amb especial cura als més grans, ja que les dades demostren que poden necessitar una mica més d'ajuda. D'altra banda, podem pensar que, amb les contínues campanyes de conscienciació de les organitzacions financeres, les empreses de ciberseguretat, els governs i altres entitats similars que transmeten missatges de conscienciació sobre ciberseguretat, aquesta xifra hauria de ser molt menor. No obstant això, alguns correus electrònics de phishing que arriben a les safates d'entrada estan molt ben elaborats i s'assemblen a emails autèntics, per la qual cosa és molt més difícil identificar-los com a falsos. Aquest repte serà cada vegada més difícil a mesura que els ciberdelinqüents perfeccionin la seva tècnica. A més, ESET alerta també que l'augment dels recursos informàtics a la disposició dels ciberdelinqüents suposa un repte important. Alguns exemples d'això són, el lloguer de la potència de la computació en el núvol, les quantitats massives d'informació personal disponibles a partir de les filtracions de dades i, fins a un cert punt, els recents ciberatacs exitosos que estan reinvertint els seus beneficis per a fer créixer la ciberdelinqüència.

Altres indicadors que avisen dels atacs de phishing

A continuació, ESET revela alguns consells més sobre com identificar un correu electrònic de phishing:

  • El correu electrònic no es dirigeix a tu personalment: quan el remitent es fa passar per una empresa que hauria de saber perfectament qui ets i acostuma a enviar correus electrònics dirigits de manera personal i no de manera genèrica.
  • Errors gramaticals i ortogràfics: encara que els correus electrònics de phishing se sofistiquen cada dia més, has d'assegurar-te llegir-los dues vegades, ja que els errors poden ser més difícils de detectar.
  • Companyies desconegudes: correus electrònics remesos per empreses amb les quals no acostumes a comunicar-te o que siguin desconegudes per a tu.
  • Un email per realitzar urgentment una acció: correus que et convidin a fer clic en un enllaç i iniciar una sessió per revisar transaccions pendents o una cosa similar.
  • L'adreça de correu electrònic: és important passar el ratolí per sobre de l'adreça de correu electrònic i comprovar que l'adreça real del remitent i el domini des del qual s'ha tramès coincideixin.
  • Correus electrònics amb arxius adjunts: per exemple, que diuen ser una factura o una notificació d'algun tipus i que moltes vegades contenen malware.

Josep Albors, director de recerca i conscienciació d'ESET España, conclou: «La meva recomanació en els casos en els quals no saps si un correu electrònic és real o fals és visitar el lloc web real del suposat remitent a través d'un navegador, entrar en el teu compte i buscar qualsevol missatge que hagi pogut ser enviat. Qualsevol cosa rellevant estarà en l'apartat de missatges del teu compte o en la safata d'entrada i, si és necessari, recomano també contactar amb l'empresa i confirmar la veracitat de l'email».