La pesca (phishing) és una tàctica emprada per delinqüents digitals per enganyar les persones per obtenir informació privada, com ara contrasenyes, dades bancàries o personals. El seu nom prové de l’anglès fishing (pescar), ja que es basa a «llançar l’ham» per atrapar dades delicades mitjançant estratagemes digitals.

Com identificar un intent de pesca? Aquest tipus de frau sol iniciar-se mitjançant correus electrònics i missatges enganyosos; i es dirigeixen de forma genèrica o específica, com el cas de l‘spear phishing (o pesca dirigida). Detectar-los a temps és clau. Hi ha, a més, determinats senyals per prevenir-ho, com la verificació del remitent. En aquest sentit, cal assegurar-se de conèixer l’emissor del correu i revisar que l’adreça de correu sigui legítima. També és important detectar si hi ha errors al missatge i sospitar si el correu conté faltes d’ortografia, mala redacció o errors de traducció.

D’altra banda, és important examinar els enllaços que es reben, sigui en format correu electrònic o per missatge de text. Una bona idea és col·locar el cursor sobre els enllaços del missatge sense fer clic. Així es pot veure la direcció real a on porten. Si no correspon amb l’empresa o el lloc que esmenta el missatge, probablement es tracta d’un frau. En general, cal desconfiar de les ofertes poc creïbles. Es tracta de correus que informen sobre premis que l’usuari no ha guanyat, feines per a les quals no opta, multes sense justificació o advertiments urgents de serveis que no han estat contractats

Si accidentalment entrem en un d’aquests enllaços, encara podem identificar una pàgina falsa si es revisa l’URL amb atenció. En dispositius mòbils, on la direcció pot estar oculta, encara és més important estar alerta. No n’hi ha prou amb accedir a la web falsa; el robatori passa si s’hi introdueixen dades. Quan l’usuari està en una pàgina que demana informació confidencial, ha de revisar que l’adreça web sigui l’oficial, que comenci amb https:// i no tingui errors d’escriptura. Alguns webs fraudulents imiten el nom original amb petites variacions. 

1. Pesca tradicional

Aquesta és la manera més comuna d’atac. Els delinqüents envien correus electrònics que aparenten ser d’entitats fiables, com ara bancs o plataformes de correu, incloses empreses d’entreteniment molt conegudes, per obtenir informació personal. Aquests missatges demanen, per exemple, contrasenyes o dades financeres, i sovint redirigeixen a llocs falsos que imiten els originals.

2. Pesca dirigida

És una variant més sofisticada i dirigida. En lloc d’enviar correus massius, els atacants personalitzen els missatges per a una persona o empresa concreta. Fan servir informació específica de la víctima per semblar creïbles. L’objectiu pot ser obtenir credencials, dades financeres o fins i tot instal·lar codi maliciós (malware). Aquest tipus d’atac és comú entre pirates informàtics que tenen el suport de governs, encara que també ho fan servir delinqüents comuns per a fraus financers, espionatge o venda d’informació confidencial.

3. Smishing o pesca per SMS

La pesca per SMS es fa a través de diferents aplicacions de missatgeria, com ara SMS o WhatsApp. El missatge sol contenir un enllaç acompanyat d’una excusa perquè el destinatari l’obri. Poden afirmar que heu de cobrar un premi, confirmar una devolució d’impostos, evitar un càrrec bancari sospitós o pagar una multa. L’enllaç porta a una pàgina falsa que imita l’entitat esmentada, on se sol·licita informació delicada.

4. Vishing o pesca per veu

Aquesta modalitat combina l’ús del telèfon amb dades prèviament obtingudes a través d’altres estafes. El delinqüent es fa passar per un treballador del banc i truca la víctima, normalment amb una excusa alarmant, com una suposada activitat fraudulenta al compte. L’objectiu és que la persona reveli codis de seguretat com ara la clau SMS o el testimoni digital, necessaris per autoritzar operacions bancàries.

Llista de control de defensa integral

A continuació veurem tres tècniques d’autoajuda per identificar i prevenir els atacs de pesca. 

• Confiança zero:  és un enfocament de ciberseguretat que parteix del principi de no confiar automàticament en cap usuari ni dispositiu, sense importar si es troben dins o fora de l’entorn intern de l’organització.
• MFA: l’autenticació multifactor (MFA) és un mètode de seguretat que exigeix ​​que els usuaris verifiquin la seva identitat fent servir dues o més formes d’autenticació abans d’accedir a un compte o sistema. El nivell de protecció és superior al sistema tradicional que demana l’usuari i la contrasenya. 
• Entrenament: la preparació contra la pesca és una acció molt important que cal tenir en compte a les empreses. Atès que moltes d’aquestes accions tenen l’objectiu de robar informació delicada de les organitzacions, preparar els empleats per afrontar aquest risc és indispensable al món digital actual. 

La pesca, en les diferents formes, representa una de les amenaces més freqüents en l’entorn digital. La prevenció i l’entrenament es presenten com les millors defenses davant d’un risc d’aquesta magnitud. En aquest sentit, és important mantenir-se alerta i no compartir dades personals tret que s’estigui completament segur que la relació és segura.