Avui dia, caure en un parany per correu és més fàcil del que sembla. Ja no arriben els missatges plens d’errors que es detectaven a l’instant. Ara els atacants fan els deures: investiguen l’empresa, en treuen informació, coneixen treballadors, proveïdors i clients, els projectes que està realitzant i fins i tot el to que fan servir quan s’escriuen entre companys.

Amb tota aquesta informació, creen correus que semblen normals. Potser és una indicació del cap, una confirmació d’una reunió real o un fitxer que sembla legítim. A primera vista, no hi ha res que desperti sospites. I justament aquí hi ha el risc: l’engany ja no és evident.

Aquests atacs no es llencen a l’atzar. Estan pensats per a una persona concreta, en un moment determinat, i amb dades que encaixen perfectament amb el dia a dia. Es tracta d’enginyeria social molt afinada, on cada paraula compta i tot sembla tenir sentit.

Per això ja no n’hi ha prou de dir «si veus alguna cosa rara, no ho obris». De vegades són molt realistes. La diferència és tenir la formació adequada, aturar-se un segon abans de fer clic i saber que, encara que el correu sembli de confiança, pot no ser-ho.

Aquests correus poden estar perfectament integrats en una conversa real, i aquí és on resideix el perill real.

Com protegir-te d’aquestes noves ciberestafes

La pesca, actualment es redacta acuradament, conté informació real i sembla provenir de contactes fiables.

Sovint, aquests correus arriben just quan hom espera una actualització sobre un projecte, una reunió o un tràmit específic. Inclouen detalls que generen confiança, però que podrien haver estat obtinguts de manera fraudulenta. Quan el missatge sembla massa oportú o personalitzat, és important aturar-se i qüestionar-ne l’autenticitat.

Un altre signe d’alerta són els petits canvis a l’estil de comunicació. La salutació pot semblar diferent, les expressions poden no coincidir amb les habituals o la signatura pot estar absent. Aquests detalls, encara que subtils, poden indicar que no es tracta realment de l’usuari que aparenta ser.

També és comú que el missatge contingui sol·licituds aparentment normals però amb un sentit d’urgència poc habitual. Sol·licituds per part del suposat ciberdelinqüent sobre actualitzar dades bancàries, autoritzar pagaments o compartir contrasenyes amb rapidesa, sempre han de generar sospita.

A més, els detalls tècnics poden revelar la veritable intenció del correu. Adreces que difereixen per un sol caràcter, enllaços que no porten al domini esperat o fitxers adjunts amb noms o extensions diferents, estranyes i desconegudes, són senyals clars de possible frau.

A diferència de la pesca clàssica, els atacants no només es limiten al correu electrònic. També fan servir trucades, missatges de text, aplicacions de missatgeria o fins i tot xarxes socials per reforçar la credibilitat de l’engany. De vegades, s’infiltren en converses reals o suplanten proveïdors coneguts per guanyar la confiança del destinatari.

Davant de qualsevol dubte, el més recomanable és no actuar immediatament. Verificar i comprovar la informació per un canal diferent, com ara una trucada telefònica o una conversa directa. 

Conseqüències dels atacs del Phishing 2.0.

Els atacs del phishing 2.0 tenen impactes greus i múltiples:

• Pèrdues econòmiques. Aquests atacs van dirigits a persones amb accés a recursos clau. Les transferències fraudulentes o desviaments de pagaments poden assolir xifres elevades.
  Accés als sistemes. La sofisticació dels mètodes en retarda la detecció, i permet que els atacants romanguin més temps dins dels entorns corporatius, exfiltrar dades i preparar atacs nous.
• Compromís d’informació crítica. Es posen en risc bases de dades, secrets industrials, informació de clients i documentació confidencial.
• Conseqüències legals. Si es filtren dades personals, l’empresa pot enfrontar sancions per incompliment de l’RGPD, a més dels costos associats a la notificació i la resposta davant la bretxa.
  Un atac no només compromet dades. També deixa tocada la confiança. Quan els clients comencen a desconfiar, costa tornar a guanyar-ne el suport. Això afecta, sobretot, en sectors on la fiabilitat ho és tot.
• No és només imatge. Molts cops cal apagar equips, tallar accessos o fer tasques que normalment són automàtiques, però ara toca fer-les a mà. Això retarda lliuraments, frena la feina i pot generar problemes amb clients o proveïdors.
   

Bones pràctiques per prevenir el Phishing 2.0

No n’hi ha prou amb tenir filtres per als correus; avui dia, els atacs són més eficients i cal fer servir diverses defenses al mateix temps. Per exemple, sistemes que revisin bé els missatges abans que arribin i bloquegin enllaços o fitxers perillosos.

També és fonamental fer servir la doble verificació per entrar als sistemes. Encara que algú aconsegueixi una contrasenya, sense la doble verificació no hi podrà accedir. Això és clau a les parts més sensibles de l’empresa.

Cal estar pendent de qui pot entrar a què. De vegades es queden portes obertes sense voler, i això pot portar problemes si cau en mans equivocades.

Formar tots els que treballen a l’empresa és molt important. No n’hi ha prou d’explicar-los una vegada: cal repetir, mostrar exemples reals i fer que sàpiguen què mirar per no caure en aquests atacs.

Quan algú demana alguna cosa fora del normal, com ara canviar un compte bancari o fer una transferència ràpida, cal confirmar-ho per un altre mitjà abans d’actuar. No s’ha de donar mai res per fet.

També és recomanable revisar com estan funcionant les defenses i els permisos, no només amb màquines, sinó assegurant-se que les normes es compleixen i que no hi ha errors humans.

A més, estar en contacte amb altres empreses o grups ajuda a assabentar-se de noves formes d’atac que apareixen, per poder preparar-se abans que passi.

I si algun dia passa alguna cosa, tenir un pla clar per saber què fer, com controlar la situació i com informar tothom evita que el problema creixi i causi més mal.

Conclusions

La pesca ja no és el que era. Avui, els atacants no envien correus massius a veure si algú pica. Van directes al treballador, investiguen, imiten missatges reals i els fan gairebé impossibles de distingir-ne un d’autèntic. Són molt més realistes.

La tecnologia ajuda, però si l’equip no sap identificar un senyal d’alerta, serveix de poc. Les eines per si soles no aturen un atac si l’usuari que rep el correu l’obre sense sospitar.
Per això, la ciberseguretat no pot ser una cosa secundària. No es tracta només de comprar solucions: es tracta de formar els treballadors, estar preparats per detectar i actuar de pressa. Al final, protegir el negoci és també protegir aquells que el fan possible.

La diferència entre una empresa protegida i una vulnerable és la preparació. El phishing 2.0 no avisa ni proporciona prou temps per reaccionar. Tot i això, amb una estratègia clara i equips capacitats, es pot anticipar, contenir i neutralitzar.