L'arma més efectiva no és tècnica
Després de llegir desenes d'informes d'incidents, hi ha alguna cosa que es repeteix: la majoria dels atacs exitosos comencen per un correu. No per un exploit de dia zero ni per una vulnerabilitat sofisticada. Per un simple engany.
L'enginyeria social explota alguna cosa que no es pot pedaçar fàcilment: la tendència humana a confiar, a actuar de pressa quan hi ha urgència, i a obeir qui sembla tenir autoritat.
Tipus de phishing més comuns
Phishing massiu
El més conegut. Correus enviats a milions de persones fent-se passar per un banc, Netflix, Correos o l'Agència Tributària. Són genèrics, però funcionen pel volum.
Senyals d'alerta:
- Domini del remitent lleugerament diferent:
suport@bancosantand3r.com - Urgència artificial: "El teu compte serà blocat en 24h"
- Enllaç que no apunta al domini real (passa el ratolí per sobre abans de clicar)
- Fitxers adjunts inesperats (.zip, .exe, .docx amb macros)
Spear Phishing
Molt més perillós. L'atacant investiga la víctima i personalitza el missatge. Pot conèixer el teu nom, empresa, càrrec o projectes en què treballes gràcies a LinkedIn o xarxes socials.
Un correu que diu: "Hola [el teu nom], t'adjunto el contracte que vam parlar dimarts amb [nom del teu cap]" costa molt més d'identificar com a frau.
Vishing i Smishing
Mateixa tàctica, altre canal. Per telèfon (vishing) o SMS (smishing). La trucada del "suport tècnic de Microsoft" que et demana instal·lar TeamViewer continua enganyant molta gent.
La tècnica del pretext
L'atacant construeix una història creïble per justificar la seva petició. Els pretextos més efectius són:
- Autoritat: "Sóc del departament d'IT, necessito les teves credencials per solucionar un problema"
- Urgència: "Si no verifiques ara, perdràs l'accés"
- Reciprocitat: "Et vaig ajudar amb allò, ara necessito que em facis aquest favor ràpid"
- Por: "Hem detectat activitat sospitosa al teu compte"
Com protegir-se (sense ser paranoic)
No es tracta de desconfiar de tot, sinó de verificar abans d'actuar:
- Per al correu, mira el domini real del remitent, no el nom mostrat
- Mai facis clic directament en links de correus inesperats. Ves al lloc tu mateix
- Si et demanen credencials o dades sensibles per correu, truca per confirmar per un altre canal
- Activa MFA a tots els teus comptes. Si roben la teva contrasenya, continuaràs protegit
- Actualitza i usa un gestor de contrasenyes. Les contrasenyes febles o reutilitzades multipliquen el dany
Eines per practicar
- GoPhish — Plataforma open source per simular campanyes de phishing a la teva organització
- PhishTank — Base de dades col·laborativa d'URLs de phishing conegudes
- Have I Been Pwned — Comprova si el teu correu apareix en filtracions
Reflexió final
El que més em va sorprendre aprenent sobre aquest tema és la facilitat amb la qual es pot caure, fins i tot sabent com funciona. El millor antídot és l'hàbit: pausa, verifica, llavors actua. Aquests tres segons de dubte et poden estalviar un problema enorme.