Una nova manera d’estafar ha entrat en joc en el panorama digital i ha estat ressonant durant el transcurs dels últims dies pels diversos casos que s’han donat al nostre país veí. Veient l’escena que se’ns presenta, podem afirmar que en pocs dies farà acte de presència a Andorra i es preveu que serà habitual al llarg dels pròxims mesos per la seva complexitat.

El modus operandi per dur a terme aquesta estafa és el següent: en primer lloc, es desenvolupa una tasca d’enginyeria social d’una empresa per tal de recopilar el màxim d’informació possible tant del directiu com de l’empleat a qui es vol estafar. I a continuació, s’envia al treballador una petició signada pel seu cap en forma de missatge.

Per la víctima, sospitar és difícil, ja que el contacte de WhatsApp es presenta com a legítim. Aquest fet es pot donar per dues causes:

• S’ha suplantat la identitat del remitent (l’estafador), mitjançant les diferents tècniques que existeixen.
• S’ha incorporat un nou contacte a l’agenda de la víctima aprofitant que els ciberdelinqüents disposen de les credencials d’aquesta i han estat revisant les seves dades personals.

Bàsicament, l’atacant busca una víctima que fa poc temps que és a l’empresa o que en aquests moments es troba teletreballant. D’aquesta manera els estafadors s’asseguren que encara no coneix la dinàmica de treball o es troba aïllat dels seus companys de feina.

Com hem mencionat anteriorment, aquesta recollida de dades es realitza, principalment, mitjançant tècniques d’enginyeria social, però sobretot a través de la xarxa de LinkedIn.

Un cop s’ha establert el primer contacte amb l’empleat per part del suposat cap o directiu via WhatsApp, se li demana que compri una sèrie de targetes de regal d’aplicacions com ara Google Play, iTunes o Steam Card a l’oficina de correus més pròxima, ja que ell està reunit i no pot anar-hi, per la qual cosa, l’empleat no dubta de la veracitat i fa el que se li demana.

Tan bon punt s’han adquirit les targetes – que poden tenir imports d’uns 50 a uns 500 euros -, a la víctima se li demana que enviï els codis que tenen les targetes al revers. D’aquesta manera, l’atacant podrà activar-les sense la necessitat de tenir-les físicament.

Tot aquest procés fa que l’empleat hagi perdut una quantitat important de diners, que en cap moment se li reemborsaran donades les dificultats que suposa esbrinar qui és el responsable.

Coneixent ara els moviments que realitzen aquests atacants, tot seguit us detallem una sèrie de consells que us poden servir per evitar aquest tipus de sostracció de dades:

1. Revisar els contactes.
2. No fiar-se de segons quines peticions que ens puguin semblar estranyes.
3. Emprar el sentit comú.
4. Establir sempre una trucada de telèfon per confirmar que la informació rebuda és verídica.
5. Verificar la urgència del que se’ns demana.
6. Activar l’autenticació de doble factor (2FA) a tots els nostres comptes de correu, del banc, etc. D’aquesta manera ens evitarem que qualsevol usuari pugui aconseguir les nostres credencials.
7. Posar una denúncia de seguida que ens adonem que es tracta d’una estafa.
8. No publicar informació personal o delicada a les xarxes socials.

 
Podeu escoltar un cas real a https://www.rac1.cat