En l'última setmana, s'ha detectat una onada de correus electrònics de phishing on els estafadors es feien passar per la identitat de la Policia Nacional. El pretext utilitzat en l'email per a aconseguir dades personals de les víctimes era una investigació oberta i en curs a la qual se'ls demanava la seva participació activa. L'estafa ha estat confirmada per l'Incibe, la qual ha alertat a la seva Oficina de Seguretat de l'Internauta, i per la Policia Nacional, que ha publicat un tuit advertint als usuaris d'aquesta campanya fraudulenta. Aquest nou enviament massiu d'emails amb la intenció de cometre phishing s'ha estat duent a terme a través de l'extorsió dels usuaris, incitant-los que contestessin i accedissin a totes les seves peticions. L'assumpte del mail avisava sobre 'Crim' o 'Enquesta ràpida'.

Hervé Lambert, Global Consumer Operations Manager de Panda Security alerta: «Com hem vist en altres estafes de spoofing fent-se passar per Hisenda o la Guàrdia Civil, els hackers continuen apostant per organismes públics. Cada vegada milloren més la seva tècnica i els petits detalls per fer que l'usuari caigui en el parany. Tenim constància que continuarà produint-se i amb major mesura, donat el context de crisi social i econòmica en el qual estem. Els comunicats sobre falses cites de vacunació per la covid-19 són només alguns dels molts delictes que estan perfeccionant».

L'ham: una recerca falsa sobre contingut pornogràfic. El mecanisme per articular el frau per spoofing

Ni més ni menys que un suposat comunicat oficial en el qual s'avisa al receptor del mail d'estar implicat en una investigació per possessió de contingut pornogràfic en qualsevol dels seus dispositius.

En primer lloc, suplanten la identitat d'un organisme oficial, una autoritat que confereix respecte a la víctima per intentar fer el frau més verídic. El contingut que servirà com a amenaça: es notifica al receptor d'estar en possessió de contingut pornogràfic i de la intenció d'executar un procediment legal en contra seva per pedofília, exhibicionisme i ciberpornografia. A través de l'extorsió, se li sol·licita a l'usuari que cooperi en la investigació i enviï documents amb els requeriments que se li exigeix en un termini màxim de 48 hores. En cas de no complir amb la data límit, se l'amenaça amb una possible ordre d'arrest. A través d'enginyeria social introdueixen una sèrie de tècniques per fer semblar més realista l'engany. En aquest cas, la informació venia continguda dins d'un arxiu PDF on ve el logotip i la signatura de la Policia Nacional, així com la marca d'aigua logo del Sindicat Unificat de Policia (SUP) en uns altres, intentant imitar un comunicat oficial.

Com podem detectar que es tracta d'un frau?

Encara que les seves tècniques estan millorant, el primer matís en el qual cal fixar-se és l'adreça del compte de correu electrònic des d'on s'ha enviat el mail. Normalment, acostuma a haver-hi un nom que res té a veure amb la institució policial. Un altre dels detalls en els quals hem de fixar-nos són les faltes d'ortografia al llarg del text. El missatge acostuma a contenir paraules mal escrites o que no guarden relació les unes amb les altres. Sembla una ximpleria, però un altre tret comú és que utilitzen senyals que delaten a l'autor en la seva intenció o identitat.

Si, per contra, has contestat a algun d'aquests emails, encara no és tard i queden mecanismes per evitar caure en el frau. El primer serà acudir davant la Policia Nacional per interposar una denúncia. Per això, serà necessari aportar el màxim de proves i referències que tinguis a la teva disposició. També recopilar totes les dades personals facilitats per poder comprovar si estan intentant vendre'ls per la dark web o apareixen en algun lloc d'internet sense el teu consentiment.

Comprovar si les teves dades s'han filtrat a la deep web és senzill. L'eina Dark Web Scanner registra la xarxa i t'alerta en cas que la teva informació personal, comptes, contrasenyes, etc., s'hagin filtrat. Pots accedir, encara que no siguis client, des de My Colla. Si no tens un compte, pots registrar-te de manera gratuïta i gaudir d'aquest i altres serveis. D'altra banda, contacta amb la teva entitat bancària perquè retornin el pagament o cancel·lin la transferència.

A quins organismes o administracions pots acudir per demanar ajuda?

Encara que el primer pas sigui denunciar-ho davant les autoritats i Forces de Seguretat de l'Estat, també existeixen altres entitats que poden servir de gran ajuda. Unes no són excloents de les altres, per la qual cosa estaràs més protegit com més informat estiguis. Pots contactar amb l'empresa o servei implicat. En aquest cas amb el servidor de correu electrònic. Pots posar una denúncia i avisar del frau del qual has estat víctima perquè el seu equip informàtic comenci a treballar sobre aquest tema i alertar als seus altres usuaris. Al seu torn, seria adequat que canviessis totes les teves contrasenyes i reforcessis la privacitat i seguretat del teu compte en el lloc.

D'altra banda, pots acudir a l'Oficina Municipal d'Informació al Consumidor (OIMC), on orienten i guien als consumidors en qualsevol dels seus dubtes. A més, compten amb serveis d'especialització legal per dur a terme tramitacions o altres reclamacions. Posa't en contacte amb l'Institut Nacional de Ciberseguretat d'Espanya (INCIBE), registren tota activitat informàtica de dubtosa legitimitat i donen orientació a particulars i empreses sobretot tipus de temes relacionats amb serveis de ciberseguretat.