Spear phishing: un frau fet a mida que cerca quedar-se amb les teves dades

Un dia reps un correu electrònic o un missatge amb informació tan real que t’hi identifiques de seguida. Es pot adreçar a tu pel nom, esmentar el teu domicili o el lloc que ocupes a la teva empresa. Fins i tot, pot imitar l’estil habitual d’una entitat amb què tinguis relació.

Sí, aquest missatge sembla real, però no és més que l’enèsim intent d’estafar-te. Així funciona l’spear phishing.

En aquest article, t’explico:

• Què significa spear phishing
• Com funciona l’spear phishing
• Spear phishing vs. phishing
• Com evitar un atac de spear phishing
• Què fer davant d’un atac de spear phishing

L’expressió «spear phishing», suma de les paraules llança i pescar en anglès, es refereix a un intent d’estafa dirigit a un objectiu concret, és a dir, a una persona en particular.

Per fer els atacs, els delinqüents utilitzen eines d’enginyeria social per estudiar les seves víctimes. D’aquesta manera, obtenen informació sobre elles per elaborar missatges que semblen legítims i, per tant, augmentar la seva efectivitat.

Així és més senzill que la persona que rep el correu faci el que pretenen els delinqüents, des de revelar informació fins a instal·lar algun tipus de malware.

Això els permetrà robar dades personals o empresarials sensibles, materialitzar estafes econòmiques o espiar.

Per dur a terme un atac de spear phishing, els delinqüents solen seguir una sèrie de passos, tal com explica l’Incibe:

1. Definir i seleccionar objectius: els delinqüents estudien primer quines víctimes els interessa atacar. Solen centrar-se en persones que poden revelar informació confidencial o credencials valuoses.
2. Investigar la víctima: filtracions de dades, xarxes socials i altres publicacions a internet proporcionen als delinqüents la informació que necessiten per enganyar la víctima.
3. Crear i enviar un missatge personalitzat: a partir de la informació recopilada, els atacants elaboren i envien un missatge que s’ajusta al perfil de la seva víctima per captar la seva atenció i fer-li creure que és legítim. Normalment, demanen dades de forma urgent o animen a accedir a un lloc web fraudulent per recopilar informació o baixar malware.

Estem parlant d’un tipus de ciberatac molt personalitzat. L’spear phishing es diferencia del phishing convencional en el fet que s’enfoca a individus concrets, en comptes de fer el mateix missatge de forma massiva.

L’spear phishing se sol utilitzar per enganyar objectius d’alt valor, és a dir, empleats amb accés a informació confidencial d’una empresa. Solen ser directius, personal de recursos humans o administradors de sistemes que manegen claus de seguretat valuoses. Un exemple de spear phishing és el frau del CEO, mitjançant el qual els delinqüents es fan passar pel cap de la víctima per desviar fons.

Tanmateix, no tots els atacs de spear phishing s’adrecen a aquests perfils. N’hi ha prou que el delinqüent consideri que una persona és especialment vulnerable a caure en una estafa perquè la converteixi en objectiu d’un atac de spear phishing.

A més, les eines d’intel·ligència artificial faciliten tant el rastreig d’informació personal com el disseny immediat de correus electrònics totalment personalitzats.

Tot això redueix esforços per als delinqüents. De fet, ja s’han observat atacs massius de phishing que integren tècniques de spear phishing per ser més creïbles, tal com adverteix Kaspersky.

El problema amb l’spear phishing és que no n’hi ha prou amb tenir actualitzats els antivirus o els tallafocs. En utilitzar enginyeria social per enganyar les seves víctimes, el punt feble més important a l’hora de patir un d’aquests atacs són els destinataris dels missatges.

Aquesta és la raó per la qual les empreses i organitzacions han d’informar i conscienciar els seus empleats perquè puguin detectar més fàcilment aquest tipus d’enganys i no caure-hi.

Els ciutadans també han de ser conscients d’aquest risc i extremar les precaucions, seguint aquests consells:

Si una petició genera algun dubte, no s’hi ha d’accedir. És important contactar mitjançant una via alternativa amb la persona o l’entitat que envia el missatge per contrastar la informació. Per exemple, si ens han enviat un correu electrònic, convé trucar per telèfon a un número que hàgim obtingut d’una altra font.

És important revisar la configuració de privacitat de les xarxes socials i compartir només la informació imprescindible.

Abans de respondre a un correu o un missatge que ens sol·liciti alguna cosa inesperada, és important verificar-ne l’autenticitat. Recorda: no facilitis mai les teves dades personals o bancàries ni informació confidencial.

Utilitzar el doble factor d’autenticació per accedir a un compte és especialment útil per protegir-lo.

Què passa si ja hem facilitat informació en un atac de spear phishing? Cal actuar al més aviat possible per minimitzar-ne les conseqüències.

L’Incibe recomana canviar contrasenyes i avisar les entitats que es puguin veure involucrades perquè puguin prendre mesures immediatament.

Si ets treballador d’una empresa i has estat víctima d’aquest frau amb informació relacionada amb el teu entorn laboral, contacta ràpidament amb el departament tècnic.

Toca revisar la informació que s’hagi pogut filtrar, des del nom o l’adreça fins a qualsevol mena de credencial. També cal revisar els comptes, des de possibles moviments estranys en els comptes bancaris fins a qualsevol altre servei que s’hagi pogut veure afectat (opcions per recuperar un compte, de privacitat, dades personals…).

És important denunciar a les autoritats l’incident si hi ha hagut una filtració d’informació confidencial o de dades que permetin l’accés a comptes de l’usuari.

També convé cercar ajuda professional si aquesta informació és crítica, per tal d’avaluar l’abast de l’atac i evitar mals majors. Per descomptat, és imprescindible prendre mesures perquè no torni a passar.