Com a novetat us portem nous detalls sobre els canvis de contingut en els butlletins del CSIRT-CV. A partir d’’ara, els butlletins no contindran notícies de caràcter tècnic, sinó que estaran enfocats a la ciutadania i el públic en general. Així mateix, inclouran consells en matèria de privacitat i ús segur d’Internet i les noves tecnologies. La seua periodicitat serà mensual.
D’altra banda, si ets un professional del món TIC o un amant de la ciberseguretat pots subscriure’t també al nostre butlletí d’alertes, on trobaràs notícies de caràcter més tècnic sobre vulnerabilitats i amenaces rellevants, així com consells o recomanacions en la gestió d’incidents, ús de programari, etc.
Per a donar principi a aquesta nova etapa, posarem el focus en el món de les estafes. Tal com alerta la Policia Nacional, s’està veient un repunt en les estafes en la modalitat de “smishing” i “vishing”. Ara bé, què entenem per l’una o l’altra modalitat? Perquè vishing és el frau que es produeix a través d’una telefonada l’objectiu de la qual és aconseguir les teues dades personals o bancàries, mentre que el smishing és aquella estafa que pretén aconseguir les teues dades a través de WhatsApp, SMS o qualsevol altra plataforma de missatgeria mòbil.
Així mateix, no hem d’oblidar-nos dels coneguts atacs de phishing: milions de correus que s’envien indiscriminadament esperant que “algú pique”. En l’actualitat, les estafes a través de correu electrònic estan creixent entre els inversors de Bitcoin. El creixent interés dels usuaris per l’univers de les criptomonedes i el desconeixement sobre els seus riscos, està permetent als cibercriminals redirigir als usuaris a falses plataformes d’inversió amb l’objectiu que s’òbriguen comptes i realitzen moviments especulatius d’alt risc.
Tornant al tema vishing, se está alertando de una estafa telefónica en la que los criminales se hacen pasar por técnicos de Microsoft para acceder a archivos. La llamada comienza con un interlocutor hablando en inglés que te dice estar llamando de Microsoft Corporation, y que te pregunta si hablas español para pasarte con otro operador. Este técnico te pide que abras tu ordenador e instales un programa que, en realidad, es malicioso, y que le permite controlar tu ordenador remotamente.
Por su parte, en relación al smishing, se está alertando de una estafa que afecta a los clientes del Banco Santander. En esta estafa te envían un SMS simulando ser el mismo remitente que el de la entidad bancaria, y en el que te muestran los últimos dígitos de tu tarjeta para que des fiabilidad al mensaje. Tras esto, aseguran no reconocer el acceso y solicitan que pinches en un link e introduzcas tus datos.
Ara bé, aquests no són casos aïllats, sinó que també s’han detectat missatges fraudulents suplantant la identitat del Servei Públic d’Ocupació Estatal (SEPO). D’acord amb el SEPO, es tracta d’un fenomen phishing que pot arribar als usuaris a través de correu electrònic, WhatsApp i SMS. L’estafa consisteix a indicar-te un pagament que s’ha realitzat després d’una actualització fallida de les teues dades bancàries, per la qual cosa se’t sol·licita que actualitzes les teues dades en un enllaç.
Com podem observar, els ciberdelinqüents han evolucionat millorant el seu modus operandi cap a tàctiques de difusió cada vegada més selectives. Altres exemples d’això són:
- Les estafes a través d’Apps per a compartir cotxe. En aquest cas, el conductor “estafador” persuadeix la víctima per a continuar la conversa fora de l’aplicació mòbil, normalment a través de WhatsApp. El conductor al·lega estalvi en el pagament de taxes o mal funcionament de l’aplicació. A través de WhatsApp el conductor li comparteix un enllaç que el duu a una pàgina maliciosa perquè reserve i fer-se amb les seues dades.
- Les estafes bancàries a través de la tècnica SIM swapping. Aquesta és una tècnica en la qual els estafadors es dirigeixen a les companyies de telefonia mòbil suplantant la identitat de l’usuari legítim de la targeta SIM, i sol·licitant-ne un duplicat amb l’excusa que ha perdut l’original o que ha deixat de funcionar, quedant inoperativa la targeta SIM de la víctima. Quin és el problema? Doncs que l’afectat no pot utilitzar la seua targeta, aconseguint els estafadors accés als seus missatges SMS de verificació de comptes bancaris, als seus comptes de moneda virtual, correu electrònic o xarxes socials.
Referent a això, i com a colofó final al butlletí, facilitarem alguns CONSELLS per a evitar riscos i mantindre allunyats els estafadors. En aquest sentit, el millor és:
- Ser prudent i desconfiar davant la mínima sospita.
- No instal·lar apps si no coneixes completament el seu funcionament.
- No obrir missatges ni arxius adjunts de remitents desconeguts.
- No respondre a aquells missatges que sol·liciten informació personal (noms d’usuari i contrasenyes, dades bancàries o de la seguretat social…).
- No fer clic en els enllaços de missatges que no hages sol·licitat.
- Si és una trucada telefònica, no dones informació personal i verifica la legitimitat de la crida a través del punt de contacte oficial.