Banco Santander, Telefónica, Iberdrola, Decathlon, Ticketmaster… En les últimes setmanes diverses grans companyies han estat víctimes de ciberatacs per aconseguir les dades de milers de clients. Lamentablement, aquest tipus d'hackeigs sol anticipar intents d'estafes massives, on se suplanta la identitat d'empreses ben conegudes per aconseguir les dades bancàries del client i fer càrrecs a costa seva, adverteix l'Organització de Consumidors i Usuaris (OCU).
El modus operandi d'aquestes estafes en línia és molt semblant: aprofitant la filtració del nom, les dades de contacte i la vinculació de l'usuari amb l'empresa hackejada, el ciberdelinqüent envia un fals email (així comença el phishing) o un fals SMS (el smishing) fent-se passar per personal d'aquesta mateixa empresa.
Aquesta comunicació és urgent clicar en un link que simula ser el del web oficial amb alguna important excusa, com ara la detecció d'un problema de seguretat o el bloqueig del compte corrent. Un cop dins de la web, se sol·licitarà a la víctima les seves dades i claus bancàries com l'única manera de solucionar aquest suposat problema.
La tècnica de vishing és molt similar, només canvia el canal. En comptes d'enviar un fals email o un fals SMS, el ciberdelinqüent trucarà a la víctima fent-se passar per personal de l'empresa hacker per demanar-li les seves dades bancàries amb excuses semblants.
Hi ha casos en què els suplantadors estan realment ben preparats i utilitzen un llenguatge perfectament elaborat, amb tota mena de tecnicismes i aclariments, cosa que augmenta les seves probabilitats d'èxit. A aquesta tècnica tan elaborada se la coneix com a spoofing.
OCU també aclareix que és possible prevenir una bona part d'aquestes estafes seguint quatre recomanacions bàsiques.
La primera, no obrir correus electrònics o SMS d'origen desconegut.
Si l'emissor del missatge sembla conegut, però en obrir-lo us urgeix a punxar en un link, desconfieu. Truqueu a l'empresa remitent per comprovar la vostra veracitat utilitzant el número de telèfon que tingueu gravat o aparegui a Internet, mai el que s'indiqui a l'email o l'SMS.
Si el que rep és una trucada demanant les dades bancàries, sàpiga que és falsa, cap empresa o banc demana aquesta informació per telèfon.
Finalment, practiqueu l'egosurfing: escriviu el vostre nom a Internet i assegureu-vos que no hi ha informació vostra que considereu privada, perquè revelaria una possible filtració de dades.
El que diu la Llei
Tot i això, OCU recorda que cap pagament que faci un usuari sota els efectes d'un engany podrà ser considerat com a autoritzat i per tant haurà de ser reemborsat de forma automàtica per l'entitat bancària. L'Autoritat Bancària Europea no només defineix com a fraudulentes les transaccions de pagament no autoritzades, també aquelles en què es va manipular el pagador per admetre una ordre de pagament. És més, el mateix Codi Civil, a l'article 1.265, considera que el consentiment és nul si es presta per error.