Quan es fan servir els canals electrònics, ja sigui el mòbil o l’ordinador, és important seguir unes recomanacions bàsiques per ajudar a mantenir les dades segures i prevenir el frau. Cal anar amb compte i no revelar mai les nostres dades si no estem segurs de la confiança de qui les sol·licita.

L’IMO mai demanarà les vostres dades o claus a través de SMS amb enllaços,

MAI demanarem les dades a través de comptes de xarxes socials.

Si reveu alguna comunicació d’aquest tipus, es FALSA.

NO cediu les vostres dades!

Un atac com l’SMISHING es basa en la tramesa de missatges fraudulents, sigui per SMS o bé per eines de missatgeria instantània com ara Whatsapp, en els quals els ciberdelinqüents suplanten la identitat d’una companyia i ofereixen premis o promocions falsos als usuaris per obtenir-ne les dades personals, bancàries o credencials d’accés de l’organització.
Altres variants recents d’smishing que circulen actualment són:

• • Avisos de paquets que no s’han pogut lliurar
  • Factures de serveis
  • Retorn d’imports a favor de l’usuari
  • Actualització o verificació de la informació bancària

Aquests missatges solen tenir un caràcter urgent i s’hi demana que facis una acció immediata, com ara trucar al número de telèfon que t’hi indiquen, respondre el missatge o clicar sobre un enllaç perquè proporcionis les dades que et sol·liciten.
Aprèn a protegir-te’n:

• • El teu banc mai no t’enviarà missatges SMS amb enllaços. Si en reps un amb un enllaç en el seu nom, és fals. No proporcionis les teves dades privades.
  • L’IMO tampoc no et demanarà mai credencials d’accés ni dades personals amb un SMS

• •  Desconfia dels missatges que et demanin informació urgentment i intentin fer-te agafar por (per exemple: “Se’t suspendrà el compte si no n’actualitzes la informació en un termini de 24 hores”)
  •  No paris atenció en ofertes i/o premis que semblin extremadament temptadors, perquè no solen ser legítims.
  •  No cliquis mai sobre enllaços afegits en SMS que et semblin sospitosos ni tampoc els responguis.
  •  No instal·lis aplicacions que et recomanin en aquests missatges, ja que poden infectar el dispositiu amb Malware.

Els atacs d’enginyeria social no són gaire diferents de les clàssiques estafes. Els ciberdelinqüents segueixen els mateixos passos que els estafadors «presencial»: reconeixement, establiment de contacte i confiança, manipulació per obtenir el seu objectiu i desaparèixer sense aixecar sospites.
El seu primer pas serà intentar reunir tota la informació possible sobre l’empresa que li pugui ser útil per conèixer la seva víctima, informació com llistats d’empleats i telèfons, departaments, ubicació, proveïdors,…
A continuació seleccionaran una víctima (generalment un empleat o algun col·laborador de l’empresa) i tractaran d’establir alguna relació que li permeti guanyar-se la confiança utilitzant la informació obtinguda: l’entitat bancària de confiança, l’empresa de manteniment informàtic, una situació particular, etc.
Un cop s’han guanyat la confiança, manipulen la seva víctima per obtenir la informació que necessiten (credencials, informació confidencial,…) o aconseguir que faci alguna acció per ell (instal·lar un programa, enviar alguns correus, fer algun ingrés…).

Les tècniques per aconseguir la confiança i manipular la víctima són diverses i s’aprofiten:

• Del respecte a l’autoritat, quan l’atacant es fa passar per un responsable o per un policia;
• De la voluntat de ser útil, ajudar o col·laborar que s’aprecia en entorns laborals i comercials;
• Del temor a perdre alguna cosa, com en els missatges que has de fer un ingrés per obtenir una feina, una recompensa, un premi, etc.;

• De la vanitat, quan adulen la víctima pels seus coneixements, la seva posició o les seves influències;
• Apel·lant a l’ego dels individus en dir-los que ha guanyat un premi o ha aconseguit alguna cosa i que per obtenir-lo tenen que fer una acció que en altre cas no farien;
• Creant situacions d’urgència i aconseguint els objectius per mandra, desconeixement o ingenuïtat de la víctima.
• No compartiu ni rebel·leu MAI els vostre usuari i contrasenya.

Per acabar, després d’aconseguir el seu objectiu, s’han d’apartar sense aixecar sospites. De vegades destrueixen les proves que puguin vincular-los amb alguna activitat delictiva posterior que executin amb informació obtinguda (per exemple: accessos no autoritzats si obtenen credencials, publicació d’informació,…)