L’SPIM (acrònim d’Spam over Instant Messaging) és un missatge no desitjat amb finalitat comercial, normalment maliciosa, que es distribueix a través d’aplicacions de missatgeria instantània, SMS o missatges privats en pàgines web. SPAM i SPIM són molt similars, l’única diferència entre els dos és el mitjà pel qual rebem aquest missatge fraudulent.

L’enviament d’SPIM es coneix amb el terme d’smishing, que prové de la unió d’SMS i phishing, una pràctica que engloba tots els fraus que es duen a terme mitjançant sistemes de missatgeria instantània.

Amb el desenvolupament de les noves tecnologies i els avenços en la comunicació interpersonal, s’obren noves vies de cibercrim de les quals hem d’estar informats. Termes com phishing o vishing estan a l’ordre del dia pel que fa a ciberatacs. A aquests dos últims, s’hi suma el no tan conegut smishing. Quina característica comuna comparteixen aquests ciberatacs? La suplantació d’identitat.

Els ciberdelinqüents, mitjançant programes informàtics automatitzats, rastregen l’agenda d’adreces de l’usuari de les aplicacions de missatgeria instantània. Un cop aconseguida la llista de contactes, el ciberdelinqüent envia un missatge a l’usuari que, depenent de l’aplicació utilitzada, apareixerà en forma de finestra emergent o de text en una conversa. Aquests missatges solen incloure un enllaç a una pàgina web o document, generalment de caràcter fraudulent.

L’objectiu és aconseguir que l’usuari faci clic a l’enllaç adjunt al missatge enviat, la qual cosa dona lloc a la descàrrega de malware, que li permetrà accedir al compte i al dispositiu de l’usuari.

A diferència de l’SPAM, que podem identificar abans d’obrir-lo i eliminar-lo sense riscos, l’enviament d’SPIM ens pot fer caure en la trampa, ja que apareix durant la conversa amb algun familiar o amic, i aconseguir que fem clic sobre l’enllaç per error en pensar que procedeix de la persona amb la qual conversem.

Encara que tots correm el risc de rebre un missatge fraudulent, hi ha una sèrie de recomanacions que podem seguir per detectar si ens trobem davant d’un ciberatac d’smishing:

– Si rebem un missatge d’un contacte conegut que està fora de context o que no encaixa en la conversa mantinguda, preguntar-li abans de fer-hi clic.

– No fer clic en enllaços o elements adjunts si no estem segurs de la identitat del remitent.

– Comprovar la procedència de qualsevol enllaç rebut abans de fer-hi clic.

– Configurar adequadament les opcions de privacitat de les aplicacions de missatgeria instantània que utilitzem per evitar que ens arribin missatges de remitents desconeguts.

– Mantenir actualitzades tant les aplicacions de missatgeria, com els nostres dispositius.

Sens dubte, la informació i la conscienciació són el primer pas per combatre el frau electrònic, que afecta tant particulars com empreses. El nostre consell davant d’aquestes amenaces: doble check abans de fer clic en un enllaç sospitós i, si no ho veus clar, confirmar el missatge per una altra via de contacte.

«Li faré una oferta que no podrà rebutjar». Potser els mètodes han canviat des de l’època dels mafiosos de El padrí, però l’objectiu segueix sent el mateix: obtenir els teus diners de manera il·lícita. L’última moda del cibercrim és el vishing, combinació dels termes «veu» (en anglès voice) i phishing, és a dir, la pràctica de suplantar la identitat del nostre banc i robar-nos utilitzant les nostres dades.

La diferència amb el segon mètode és el mitjà utilitzat pel vishing per als seus objectius delictius: la veu, tant a través de sistemes telefònics tradicionals com, en el cas més comú, mitjançant veu sobre IP.

Sona el telèfon. El número que apareix a l’identificador correspon a la teva zona geogràfica, o potser fins i tot és un número conegut. Despenges el telèfon. A l’altra banda de la línia sona una veu robòtica que assegura que el teu compte bancari ha estat atacat i que, per protegir-lo, has de trucar al número que et faciliten. I cal fer-ho ràpid, perquè si no ho fas, t’arrisques, diu la veu robòtica, a perdre tots els teus diners. En canvi, asseguren que si els proporciones el teu número de compte o de targeta de crèdit et poden ajudar a impedir transaccions fraudulentes amb el teu compte.

Aquesta és només una de les estratègies possibles que pot utilitzar el vishing per obtenir els teus diners. Altres possibilitats són reclamar impostos suposadament impagats, dir que has guanyat un premi o un concurs, oferir assistència tècnica per poder accedir al teu ordinador, simular trucar en nom d’algun organisme estatal o d’alguna associació benèfica… L’únic límit és la imaginació dels ciberdelinqüents.

Així doncs, què podem fer? Algunes accions que, si bé no eliminen completament el risc de ser víctima del vishing, sí que el redueixen a la seva mínima expressió, són:

• No contestar trucades de números desconeguts: si qui truca és un estafador, respondre suposa obrir-li les portes, confirmar-li que el número està actiu i deixar-li la via lliure perquè torni a trucar. Si en canvi deixem que salti el contestador, serà més fàcil esbrinar si la trucada és fraudulenta o no.
• Si contestes, mai donis informació personal: els bancs i organismes oficials mai te la demanaran, perquè ja la tenen. Si et demanen les teves dades privades per telèfon, comença a sospitar.
• Utilitza una aplicació d’identificació de trucada: les nombroses opcions de veu sobre IP permeten crear molt fàcilment números falsos. Una bona opció seria baixar una aplicació específica d’identificació de trucada, com ara Truecaller, que bloqueja els números que ja s’han confirmat perillosos i permet afegir números nous a la seva base de dades. No obstant això, encara que la tinguem instal·lada, tampoc no ens n’hem de refiar al 100%: si ens truca un número desconegut, el més prudent sempre serà no respondre.

I si som víctimes de l’smishing, és a dir, rebem SMS sospitosos, el que cal fer és fàcil: actuar exactament igual que en el cas del vishing.

Finalment, si malgrat tot som víctimes d’algun d’aquests cibercrims, abans de recórrer a padrins sempre tenim la possibilitat de denunciar-ho a Internet.