Què és l'spoofing?

L'spoofing o suplantació d'identitat és un conjunt de tècniques que utilitzen els atacants per fer-se passar per una persona o entitat de confiança i enganyar les víctimes per obtenir informació.

Principals tipus de spoofing

Actualment, el tipus d'atacs que més cometen els ciberdelinqüents és el phishing, que consisteix a obtenir informació sensible de les víctimes per cometre actes delictius. En el cas dels bancs o entitats financeres s'ha produït un increment exponencial del nombre d'atacs de phishing. L'objectiu d'aquest tipus d'atacs és obtenir credencials de banca electrònica, dades de targetes de crèdit/dèbit o altres mitjans de pagament (per exemple Bizum) per cometre estafes o fraus econòmics obtenint diners de les seves víctimes mitjançant operacions electròniques (transferències, compres en línia…) o, fins i tot, obtenir informació personal (nom, DNI, data i lloc de naixement, etc.) per cometre altres tipus de delictes.

Abans d'explicar en què consisteixen els principals tipus d'engany o de suplantació d'identitat (spoofing), cal recordar que els bancs o les entitats financeres mai no sol·licitaran als seus clients a través de cap mitjà, com ara SMS, trucada telefònica, correu electrònic, etc. que proporcionin credencials de la banca electrònica (usuari i contrasenya, codi que envien al telèfon mòbil), ni cap altra informació, com ara la numeració de la targeta, la data de caducitat i els tres dígits de control necessaris per fer compres en línia.

En l'entorn bancari, els principals tipus de spoofing que s'utilitzen són l'SMS spoofing i l'ID spoofing, que també es coneix com a spoofing telefònic.

Què és l'SMS spoofing?

L'SMS spoofing o suplantació d'identitat per SMS és la tècnica que s'utilitza en un tipus de phishing conegut com a smishing.

L'engany consisteix a enviar un SMS a la víctima que simula ser del seu banc per tal que li faciliti la informació necessària per cometre l'estafa, el frau o qualsevol altre delicte. Aquest SMS es modifica mitjançant aplicacions o tècniques (canviant el número de telèfon mòbil original que va enviar l'SMS per un altre, afegint el nom de l'entitat al FROM de l'SMS, etc.) perquè sembli ser del banc i que entri al fil de missatges originals del banc que rep la persona.

Aquests SMS falsos inclouran un enllaç a una pàgina web falsa (spoofing de pàgina web o domini), que s'assemblarà a una pàgina web original del banc en qüestió. També és freqüent que l'usuari rebi indicacions per trucar a un número de telèfon on se li demanarà l'usuari i la contrasenya de la seva banca electrònica, el codi que envia el banc al mòbil per accedir-hi o el número de targeta, la data de caducitat i el CVV/CVC (els tres dígits de la part posterior de la targeta).

Recorda que Banco Santander mai no et demanarà informació a través d'un SMS per introduir-la en una pàgina web ni indicarà als seus usuaris que truquin a cap número per facilitar aquesta informació.

Definició de Caller ID Spoofing

L'ID spoofing o suplantació d'identitat en trucades telefòniques és la tècnica que s'utilitza en un tipus de phishing conegut com a vishing.

El mecanisme de l'ID spoofing és anàleg al de l'SMS Spoofing, consisteix a canviar l'ID de trucada o número de telèfon per enganyar la víctima i fer-se passar per personal del banc per aconseguir informació personal.

Per evitar aquest tipus d'atacs, segueix les mateixes recomanacions que en el cas de l'SMS spoofing:

Qué es spoofing de email o correo electrónico

S'utilitza en phishings de correu electrònic i consisteix a falsificar un email perquè sembli que l'envia el nostre banc. Per detectar aquest tipus d'estafes, analitza el missatge rebut:

La recomanació per evitar el phishing basat en spoofing de correu electrònic és no facilitar cap tipus d'informació sensible per correu electrònic i no fer clic a cap enllaç inclòs en un email inesperat “del banc”. Per norma general, en el cas dels enllaços o links, la recomanació és anar directament a la pàgina del banc a través del navegador d'Internet o d'un cercador, per exemple, Google, i accedir a la banca electrònica, etc. a través de la pàgina web del banc mateix i no d'enllaços o links de correu.

Spoofing de pàgina web o domini: què cal saber

Com ja hem comentat en els casos anteriors de spoofing, aquest tipus de suplantació d'identitat l'utilitzen els atacants en combinació amb altres tipus de spoofing, com el de SMS o email, per crear pàgines web malicioses o fraudulentes que semblen ser les del banc i on es demanen les credencials de la banca electrònica o qualsevol altre tipus d'informació que permeti cometre estafes o frau o fer-se passar per la víctima per cometre qualsevol activitat delictiva en nom seu.

Igual que en el cas de l'spoofing de correu electrònic, si observem l'URL (adreça web) a la barra d'adreces del navegador d'Internet, veurem que el domini de la pàgina web és semblant, però no coincideix exactament amb el domini de l'entitat en qüestió. Per exemple, una pàgina web de Banco Santander tindrà el domini bancosantander.es (<nom de la pàgina web>.bancosantander.es/<altra informació o subpàgines>, com ara https://www.bancosantander.es/empresas).

Com es poden evitar aquests tipus d'atacs

Què cal fer en cas de facilitar informació sensible en un phishing?

Per als clients de Banco Santander, si identifiquen càrrecs en els seus comptes que no han fet o si faciliten qualsevol tipus d'informació a través de trucada de telèfon, correu electrònic, SMS o un enllaç o link web sospitosos, poden posar-se en contacte immediatament amb el banc a través dels canals de comunicació posats a disposició dels clients per informar del que ha passat: