Com protegir-se dels xantatges d’Internet

/in /per

 

Sol començar amb un correu electrònic que conté un missatge com aquest: “Hem piratejat el seu dispositiu i li hem gravat veient pornografia”, per després exigir el pagament d’una quantitat de diners en bitcoin. És el que es coneix generalment com a ‘xantatge de càmera web’ o sextorsió i el normal és que aquest mail vagi directament a la carpeta de ‘No desitjats’ del teu correu electrònic. Milions de correus d’aquest tipus s’envien al llarg de l’any, encara que el seu nombre sembla haver augmentat en els últims mesos.

En realitat molt poques persones li fan atenció i realitzen el pagament sol·licitat, però els criminals continuen utilitzant aquesta estafa ja que el cost d’enviar milions de correus és bàsicament zero. Així que fins i tot uns pocs pagaments signifiquen beneficis per a ells.

El ganxo

En vista que els correus electrònics aleatoris no solen tenir molt èxit, els xantatgistes han buscat noves formes de personalitzar els seus atacs. La tècnica més comuna és l’email spoofing, en què el correu mostra un remitent fals. Així poden afirmar que t’ho han enviat des d’una de les teves adreces, sense que en realitat hagin aconseguit accés.

En una segona variant d’aquest sistema, el mail pot incloure una de les teves contrasenyes o part del teu número de telèfon, que els hackers han obtingut. Els obtenen de grans repositoris on es veuen les contrasenyes exposades per grans bretxes de seguretat, que han revelat els detalls de milers de milions d’usuaris. Per exemple el 2017 Yahoo va admetre que les seves bretxes de dades van comprometre 3.000 milions de comptes. Altres atacs similars van ser les de Marriott International (500 milions de clients), LinkedIn (164 milions), Adobe (153 milions), eBay (145 milions), PlayStation Network (77 milions), Uber (57 milions) i Ashley Madison (31 milions).

 

Contrasenyes

Hi ha moltes probabilitats de que una de les teves contrasenyes hagi estat exposada en una o més d’aquestes bretxes. Pots comprovar-ho introduint les teves adreces de correu a la web, Have I been pawned ?, que reconeix més de 5,7 milions de comptes piratejades de 339 llocs web atacats. Si la teva adreça de correu electrònic apareix en HIBP, llavors has de canviar la contrasenya que hagis usat per a tots els llocs implicats en violacions de dades. Si vas usar la mateixa contrasenya per a qualsevol altre lloc -el que suposa una mala idea-també hauries de canviar aquestes claus.

D’altra banda l’eina Pwned Passwords et revela si una de les seves contrasenyes no és segura, i en aquest cas també has de canviar. Encara que potser encara no hagi estat compromesa, és qüestió de temps. Algunes són massa comuns: la contrasenya ‘12345’ ha estat exposada 2,3 milions d’vegades, ‘secreta’ 221.972 vegades, ‘déu’ 32.804 vegades i ‘Arctic Monkeys’ 649 vegades.

 

Què fer en cas de phishing

La millor manera de tractar amb el phishing i altres atacs d’spam és eliminar-lo en quant el vegis. No els obris, no responguis, no descarreguis cap document adjunt, no facis clic en cap enllaç, no introdueixis cap informació en llocs web a què redirigeixin i, sobretot, no enviïs diners. Molts d’aquests correus electrònics inclouran una imatge transparent d’un sol píxel que es coneix com beacon. A l’obrir el correu, aquesta pot enviar un diminut fitxer image.gif a un servidor remot, perquè els spammers sàpiguen que han trobat una adreça de correu electrònic activa (encara que Gmail i altres serveis analitzen les imatges per evitar aquest problema).

 

Denunciar el scam

Informar d’intents de phishing és simple, encara que no és obligatori; algunes persones reben diversos correus electrònics de phishing a el dia, i és poc probable que informin de tots ells.

No obstant això convé fer-ho, al menys de tant en tant, perquè les autoritats puguin identificar i frenar aquesta activitat fraudulenta. A la web oficial de la Policia Nacional, per exemple, trobaràs una secció per denunciar Fraus a Internet, dedicada a tota “Comunicació sobre ús fraudulent de targetes de crèdit a Internet, fraus en subhastes i comerç electrònic i estafes a la xarxa”. Inclòs el Phishing.