«El vostre compte mostra activitat sospitosa que podria indicar un possible robatori. Feu clic a l’enllaç següent per comprovar el vostre compte.» Has rebut, o algú que coneixes, un missatge de text com aquest que sembla provenir d’una empresa de corretatge? Tot i que la naturalesa urgent d’aquests missatges pot fer que sembli que has de prendre mesures immediates, no cal que ho facis: és probable que siguin fraudulents.

En intents de pesca per SMS (smishing) com aquest, els estafadors envien missatges no sol·licitats a les possibles víctimes a través del servei de missatges curts (SMS) o missatges de text. Tot i que el terme smishing prové d’una combinació de les paraules SMS i suplantació d’identitat (phishing), aquestes estafes també es poden dur a terme a través d’altres plataformes de missatgeria com ara iMessage, Google Messages i WhatsApp.

La pesca per SMS no és una estratègia nova. Tanmateix, a mesura que els objectius prenen consciència de les estafes existents, els ciberdelinqüents continuen evolucionant les seves tàctiques.

Com funciona la pesca per SMS?

Els atacs de smishing estan dissenyats per manipular les possibles víctimes perquè duguin a terme una acció no segura, com ara fer clic a un enllaç o respondre amb informació personal confidencial o no pública. Els missatges enviats pels estafadors sovint insten l’objectiu a actuar ràpidament per evitar una acció adversa o assegurar-se un benefici suposat. En realitat, el fet de fer clic o visitar l’enllaç de la pesca per SMS pot comportar mals resultats, com ara el robatori de les dades o les credencials d’inici de sessió del compte o la descàrrega de programari maliciós al dispositiu.

Molts intents de pesca per SMS que pretenen provenir d’institucions financeres legítimes poden incloure afirmacions que s’ha detectat una activitat fraudulenta al teu compte, que no es pot executar una transacció que has sol·licitat o que el teu compte s’ha bloquejat. Fins i tot pots rebre un missatge de text que afirma provenir d’una institució on no tens cap compte, cosa que hauria de ser un senyal d’alerta immediat que el missatge és fraudulent.

La naturalesa dels missatges de text, que actualment no permeten que les persones passin el cursor per sobre dels enllaços per veure la seva destinació com es pot fer en un enllaç enviat per correu electrònic, pot fer que la detecció d’enllaços maliciosos sigui més difícil que altres tipus d’atacs de pesca.

L’smishing continua creixent com una de les formes més destacades d’atacs de ciberseguretat, en gran part perquè és més probable que les persones facin clic als enllaços dels missatges de text que als enllaços rebuts per correu electrònic. Els atacs de pesca per SMS també permeten que els estafadors ocultin les seves identitats falsificant números de telèfon, mitjançant l’ús de telèfons mòbils ‘un sol ús, comunament coneguts com a burner phones, o mitjançant programari.

A mesura que les principals empreses tecnològiques han implementat solucions tecnològiques per ajudar a protegir els usuaris finals, els malfactors han evolucionat les seves tàctiques per evitar aquestes noves salvaguardes. Per exemple, algunes proteccions implementades recentment desactiven automàticament els enllaços de fonts desconegudes, i els fan «inclicable» tret que una persona faci certes accions com ara respondre el missatge. Per evitar aquestes mesures de protecció, els malfactors ara poden sol·licitar que les possibles víctimes prenguin mesures específiques per activar l’enllaç fraudulent.

Com puc reduir el meu risc?

Tingues en compte aquests passos per protegir-te dels atacs de pesca per SMS:

• Ves amb compte amb les sol·licituds de missatges de text de números desconeguts i sigues molt prudent a l’hora de respondre missatges no sol·licitats o de fonts desconegudes. Una manera de mitigar l’amenaça de l’smishing és suprimir els missatges de remitents desconeguts sense obrir-los, bloquejar el remitent i denunciar els missatges com a correu brossa a l’aplicació de missatgeria.
• Si decideixes obrir missatges de remitents desconeguts, espera uns minuts després de revisar-los abans de fer cap altre pas. Les estafes per pesca de SMS sovint es dissenyen per sol·licitar una resposta immediata del receptor. Sovint és beneficiós fer una pausa per processar completament i pensar en les sol·licituds no sol·licitades de números desconeguts.
• Confirmar de manera independent llocs web i sol·licituds fora de les aplicacions de missatgeria. Això pot incloure contactar amb institucions financeres a través de mitjans verificats sobre extractes de compte legítims o llocs web d’empreses en lloc d’utilitzar enllaços o informació proporcionada al missatge sospitós.
• Si reps un missatge de text inesperat d’una institució financera, fes una cerca a Internet amb el nom de la institució i «missatge de text». Això et pot ajudar a veure si altres persones comparteixen històries sobre missatges similars rebuts i si el missatge de text que has rebut s’ha identificat com una estafa.
• Activa l’autenticació multifactor (MFA) per als teus comptes. L’MFA utilitza dos o més factors d’autenticació diferents, com ara un codi de missatge de text o un marcador biomètric, per protegir els teus comptes de manera més completa que no pas només amb una contrasenya.
• No enviïs mai informació personal delicada o no pública (p. ex., números de compte o contrasenyes) a través de missatges de text.
• No emmagatzemis informació del compte al teu dispositiu mòbil, com ara en una aplicació de notes o com a contacte. Aquesta informació podria veure’s compromesa si un estafador obté accés al dispositiu.
• Tot i que potser no aturarà tots els intents de pesca per SMS, pensa a activar l’opció del teu dispositiu per bloquejar o filtrar els missatges de text de remitents desconeguts.

Què puc fer si sospito que un intent de smishing ha tingut èxit?

Tot seguit trobaràs algunes accions que pots dur a terme si sospites que el teu dispositiu ha estat compromès per un intent de pesca per SMS reeixit:

• Informa ràpidament de les teves sospites al teu operador de telefonia mòbil i a qualsevol empresa on els teus comptes puguin estar en risc.
• En un dispositiu separat, canvia les contrasenyes de qualsevol compte potencialment compromès.
• Posa’t en contacte amb les forces de seguretat, com ara el departament de policia local o l’ANC (https://www.anc.ad/serveis/notificacio-incidents/).
• Bloqueja o congela els teus comptes financers existents i supervisa’ls per detectar qualsevol activitat sospitosa.
• Tanca qualsevol compte nou o no autoritzat.
• Posa una alerta de frau als teus perfils de crèdit.
• Mantingues un informe detallat de les mesures de mitigació que has pres.