L’SPIM (acrònim d’Spam over Instant Messaging) és un missatge no desitjat amb finalitat comercial, normalment maliciosa, que es distribueix a través d’aplicacions de missatgeria instantània, SMS o missatges privats en pàgines web. SPAM i SPIM són molt similars, l’única diferència entre els dos és el mitjà pel qual rebem aquest missatge fraudulent.

L’enviament d’SPIM es coneix amb el terme d’smishing, que prové de la unió d’SMS i phishing, una pràctica que engloba tots els fraus que es duen a terme mitjançant sistemes de missatgeria instantània.

Amb el desenvolupament de les noves tecnologies i els avenços en la comunicació interpersonal, s’obren noves vies de cibercrim de les quals hem d’estar informats. Termes com phishing o vishing estan a l’ordre del dia pel que fa a ciberatacs. A aquests dos últims, s’hi suma el no tan conegut smishing. Quina característica comuna comparteixen aquests ciberatacs? La suplantació d’identitat.

Els ciberdelinqüents, mitjançant programes informàtics automatitzats, rastregen l’agenda d’adreces de l’usuari de les aplicacions de missatgeria instantània. Un cop aconseguida la llista de contactes, el ciberdelinqüent envia un missatge a l’usuari que, depenent de l’aplicació utilitzada, apareixerà en forma de finestra emergent o de text en una conversa. Aquests missatges solen incloure un enllaç a una pàgina web o document, generalment de caràcter fraudulent.

L’objectiu és aconseguir que l’usuari faci clic a l’enllaç adjunt al missatge enviat, la qual cosa dona lloc a la descàrrega de malware, que li permetrà accedir al compte i al dispositiu de l’usuari.

A diferència de l’SPAM, que podem identificar abans d’obrir-lo i eliminar-lo sense riscos, l’enviament d’SPIM ens pot fer caure en la trampa, ja que apareix durant la conversa amb algun familiar o amic, i aconseguir que fem clic sobre l’enllaç per error en pensar que procedeix de la persona amb la qual conversem.

Encara que tots correm el risc de rebre un missatge fraudulent, hi ha una sèrie de recomanacions que podem seguir per detectar si ens trobem davant d’un ciberatac d’smishing:

– Si rebem un missatge d’un contacte conegut que està fora de context o que no encaixa en la conversa mantinguda, preguntar-li abans de fer-hi clic.

– No fer clic en enllaços o elements adjunts si no estem segurs de la identitat del remitent.

– Comprovar la procedència de qualsevol enllaç rebut abans de fer-hi clic.

– Configurar adequadament les opcions de privacitat de les aplicacions de missatgeria instantània que utilitzem per evitar que ens arribin missatges de remitents desconeguts.

– Mantenir actualitzades tant les aplicacions de missatgeria, com els nostres dispositius.

Sens dubte, la informació i la conscienciació són el primer pas per combatre el frau electrònic, que afecta tant particulars com empreses. El nostre consell davant d’aquestes amenaces: doble check abans de fer clic en un enllaç sospitós i, si no ho veus clar, confirmar el missatge per una altra via de contacte.

«Li faré una oferta que no podrà rebutjar». Potser els mètodes han canviat des de l’època dels mafiosos de El padrí, però l’objectiu segueix sent el mateix: obtenir els teus diners de manera il·lícita. L’última moda del cibercrim és el vishing, combinació dels termes «veu» (en anglès voice) i phishing, és a dir, la pràctica de suplantar la identitat del nostre banc i robar-nos utilitzant les nostres dades.

La diferència amb el segon mètode és el mitjà utilitzat pel vishing per als seus objectius delictius: la veu, tant a través de sistemes telefònics tradicionals com, en el cas més comú, mitjançant veu sobre IP.

Sona el telèfon. El número que apareix a l’identificador correspon a la teva zona geogràfica, o potser fins i tot és un número conegut. Despenges el telèfon. A l’altra banda de la línia sona una veu robòtica que assegura que el teu compte bancari ha estat atacat i que, per protegir-lo, has de trucar al número que et faciliten. I cal fer-ho ràpid, perquè si no ho fas, t’arrisques, diu la veu robòtica, a perdre tots els teus diners. En canvi, asseguren que si els proporciones el teu número de compte o de targeta de crèdit et poden ajudar a impedir transaccions fraudulentes amb el teu compte.

Aquesta és només una de les estratègies possibles que pot utilitzar el vishing per obtenir els teus diners. Altres possibilitats són reclamar impostos suposadament impagats, dir que has guanyat un premi o un concurs, oferir assistència tècnica per poder accedir al teu ordinador, simular trucar en nom d’algun organisme estatal o d’alguna associació benèfica… L’únic límit és la imaginació dels ciberdelinqüents.

Així doncs, què podem fer? Algunes accions que, si bé no eliminen completament el risc de ser víctima del vishing, sí que el redueixen a la seva mínima expressió, són:

• No contestar trucades de números desconeguts: si qui truca és un estafador, respondre suposa obrir-li les portes, confirmar-li que el número està actiu i deixar-li la via lliure perquè torni a trucar. Si en canvi deixem que salti el contestador, serà més fàcil esbrinar si la trucada és fraudulenta o no.
• Si contestes, mai donis informació personal: els bancs i organismes oficials mai te la demanaran, perquè ja la tenen. Si et demanen les teves dades privades per telèfon, comença a sospitar.
• Utilitza una aplicació d’identificació de trucada: les nombroses opcions de veu sobre IP permeten crear molt fàcilment números falsos. Una bona opció seria baixar una aplicació específica d’identificació de trucada, com ara Truecaller, que bloqueja els números que ja s’han confirmat perillosos i permet afegir números nous a la seva base de dades. No obstant això, encara que la tinguem instal·lada, tampoc no ens n’hem de refiar al 100%: si ens truca un número desconegut, el més prudent sempre serà no respondre.

I si som víctimes de l’smishing, és a dir, rebem SMS sospitosos, el que cal fer és fàcil: actuar exactament igual que en el cas del vishing.

Finalment, si malgrat tot som víctimes d’algun d’aquests cibercrims, abans de recórrer a padrins sempre tenim la possibilitat de denunciar-ho a Internet.

Segons l’Institut Nacional de Ciberseguretat (INCIBE), “des de l’inici de l’atac s’han identificat a escala mundial més de 230.000 equips infectats per WannaCry en un total de 179 països”. A Espanya, en concret, s’han produït 1.200 infeccions confirmades i ocupa la posició 16 del rànquing de països afectats. Encapçalen la llista la Xina, Rússia, els EUA i el Regne Unit.

Evolució de l’impacte de WannaCrypt a Espanya

*Font: CERTSI

Davant aquesta amenaça, i arran de les advertències d’una nova onada del virus, la pregunta és obligada: com em puc protegir d’aquests ciberatacs? En aquest sentit, l’INCIBE i el CERT de Seguretat i Indústria (CERTSI) han fet públiques unes recomanacions perquè empreses i entitats puguin prevenir aquest tipus d’amenaces:

1. Actualitzar els equips amb els últims pedaços de seguretat publicats pel fabricant.
2. No obrir fitxers adjunts o enllaços de correus electrònics que no siguin de confiança, ni contestar aquest tipus de correus.
3. Tenir precaució en seguir enllaços en correus, missatgeria instantània i xarxes socials, encara que siguin de contactes coneguts.
4. Disposar d’eines de protecció adequades com ara       antivirus/antimalware i tallafocs.
5. Fer còpies de seguretat periòdiques de la nostra informació, principalment la més sensible o important dels nostres dispositius.

No obstant això, les solucions tècniques no són suficients. El factor humà també juga un paper fonamental en la prevenció i resolució de ciberatacs. Segons INCIBE, “conscienciar i formar els treballadors perquè facin un ús segur de la tecnologia és essencial”.

Un dels sectors que està més preparat per fer front als ciberatacs és el sector bancari, per la seva dilatada experiència en la protecció del client davant el frau electrònic. CaixaBank, per exemple, ha implementat durant aquests anys un ecosistema de ciberseguretat, una infraestructura orientada a protegir els seus actius digitals de les amenaces cibernètiques.

A més, compta amb un grup especialitzat en resposta a incidents de ciberseguretat (CiberSOC), operatiu 24×7 i que forma part de la xarxa de CERT per a la col·laboració i l’intercanvi de ciberintel·ligència tant en l’àmbit nacional com internacional.

Paral·lelament, CaixaBank desenvolupa programes de conscienciació i sensibilització en matèria de seguretat per a tots els empleats, de manera continuada , i adaptats a cada nivell per tal de mantenir un nivell d’alerta constant davant possibles amenaces que puguin afectar els nostres clients o l’entitat.