Com pots protegir-te del phishing que fa servir el nom d'Endesa

Què és, el phishing?

L'única manera de protegir-se de l'estafador és conèixer en què consisteix la seva estafa. El phishing ("fishing", en anglès, deriva del verb "pescar") és una estafa en 3 passos:

1. Guanyar la teva confiança: per això, els ciberdelinqüents es disfressaran d'una marca que coneixes i amb la qual tens relacions. Copiaran el seu logotip, imitaran els seus missatges de correu electrònic i són capaços, fins i tot, de construir pàgines web senceres que s'assemblin a les originals. L'objectiu és fer-se passar pel teu banc, per la teva asseguradora o per la teva elèctrica.

2. Fer servir una bona excusa: necessiten un motiu que et faci teclejar les teves dades més sensibles. Pot ser qualsevol cosa: una incidència tècnica, un error de cobrament, una situació urgent... Solen presentar-ho com una cosa que has de fer molt ràpid i sense pensar-t'hi gaire.

3. Capturar les teves dades sensibles: com ara el número de targeta de crèdit, la contrasenya per a l'Àrea Privada de client...

En certa manera, l'èxit de l'estafa depèn de l'habilitat dels criminals, ja que no tots aconsegueixen fabricar un esquer convincent. En qualsevol cas, la millor manera de fer que fracassin és que tu ho tinguis clar.

Tipus d'atacs de phishing més comuns

Hi ha diferents tipus de phishing, cadascun amb les seves pròpies característiques i mètodes d'atac a l'usuari. El primer pas per no caure al parany i prevenir ser una altra víctima d'aquesta amenaça que assetja al món digital, és conèixer-los molt bé:

Phishing per correu electrònic

És el més habitual o la manera tradicional de phishing. Es basa en un atac a través de correus electrònics falsos que semblen provenir de fonts o organitzacions legítimes (bancs, empreses, ONG).

L'objectiu és aconseguir que l'usuari faci clic en un enllaç maliciós, o que proporcioni informació personal o confidencial, com ara contrasenyes, dades bancàries o credencials d'accés.

Suplantació d'identitat submarina

Se l'anomena així l'atac personalitzat, adreçat a una persona específica o a un grup dins d'una organització o empresa per obtenir accés a informació sensible o comprometre sistemes interns.

Solen realitzar-se com a correus personalitzats que semblen enviats per un col·lega o superior, sol·licitant accés a documents o credencials privades.

Whaling

És una variant del “spear phishing”, però amb la missió d’atacar alts executius o persones amb poder de decisió dins de l'organització, per tractar de “robar” informació financera, autoritzar transferències o accedir a dades estratègiques. (Correus falsos vinculats al CEO sol·licitant una transferència urgent de fons, per exemple).

Clonació de suplantació d'identitat (clone phishing)

L'atacant clona un correu electrònic legítim i d'origen fiable, prèviament rebut, i el reenvia a la víctima, incloent-hi un enllaç o un fitxer maliciós adjunt.

L'objectiu és aprofitar la confiança de l'usuari amb el correu original, perquè caigui a la trampa i faciliti dades confidencials.

Pharming

És la manipulació tècnica que redirigeix l'usuari des d'una pàgina web legítima a una falsa sense que aquest ho noti, per robar contrasenyes, credencials o dades bancàries.

Un exemple és escriure l'URL del teu banc al navegador, i que en fer clic et porti sense saber a una pàgina fictícia, el disseny de la qual és idèntic al de la web original. Allí escriuràs les teves dades d'accés, que seran gravades per l'atacant.

Smishing (phishing per SMS)

No tots els atacs són per correu electrònic, també ocorren via missatge de text (SMS). L'objectiu és enganyar l'usuari perquè faci clic en un enllaç o respongui amb informació personal, com també passa per correu electrònic.

SMS enviats aparentment per empreses de trasllat de mercaderia, demanant fer clic a enllaços per fer seguiment al paquet o verificar dades, són els casos més comuns.

Vishing (Phishing telefònic)

L'amenaça és a través d'una trucada telefònica, en què l'atacant es fa passar per una empresa legítima amb l'objectiu d'obtenir informació confidencial verbalment, per gravar-la o apuntar dades i fer-les servir per al seu benefici.

Usurpar la identitat de bancs o altres entitats financeres per sol·licitar la confirmació de números de targetes o contrasenyes, solen ser els escenaris més habituals.

Exemples de phishing en nom d'Endesa

En ser la principal elèctrica del país, els ciberdelinqüents no podien ignorar Endesa i moltes vegades han intentat fer servir el seu bon nom per engalipar les seves víctimes. Han utilitzat diverses estratègies i han orquestrat veritables campanyes de phishing. La seva varietat preferida és la següent:

• A) Reps un missatge de correu electrònic que sembla ser d'Endesa.

B) Se t'informa d'un error en un cobrament, i per tant, et correspon un reemborsament.

C) Se't demana que introdueixis el teu nom, el DNI i les dades de la targeta de crèdit.

Com pots evitar la pesca de credencials que fa servir el nom d'Endesa

En primer lloc, has d'estar tranquil: Endesa vigila constantment aquest tipus d'atacs i contraataca per preservar la seguretat de les dades dels seus clients.

En segon lloc, has d'ignorar de manera sistemàtica aquest tipus de correus. Si tens qualsevol dubte, posa't en contacte amb nosaltres. És gratuït i estarem encantats d'aclarir les teves inquietuds. A la pàgina següent, hi trobaràs una varietat de canals d'Atenció al Client Endesa. Abans de fiar-te d'un correu electrònic estrany, o d'una trucada sospitosa, consulta la font autoritzada: endesaclientes.com, la pàgina d'Atenció al Client d'Endesa.

En tercer lloc, intenta ser proactiu. Per què hauries de permetre que uns pirates informàtics t'enganyin? Si estàs al corrent del teu consum d'energia i de l'estat de les factures de llum i de gas, això no passarà mai. Si tu saps més que ells, no et podran enganyar. Per això t'animem a registrar-te a la teva Àrea Privada de client si encara no ho has fet.

Hi podràs consultar l'estat de les teves factures (les del passat i les que s'estan calculant), revisar el teu consum elèctric cada hora de cada dia, modificar dades del contracte com, per exemple, el compte bancari en què domicilies les factures...

Pren el control perquè ningú no et controli. Ajuda'ns a vèncer els ciberdelinqüents.

“Si reps algun correu o alguna trucada sospitosa, no ho dubtis: posa't en contacte amb el servei oficial d'Atenció al Client d'Endesa i aclarirem les teves inquietuds”.

I si he caigut al parany? Passos a seguir

Si has caigut al parany i t'adones que ets una víctima de phishing, és primordial actuar ràpidament per minimitzar el dany i protegir la quantitat més gran d’informació personal possible. Et donem instruccions pas a pas que pots seguir:

• Pas 1: Identifica el tipus d'atac

Has de revisar si has fet clic en un enllaç sospitós, si has descarregat un fitxer adjunt maliciós o revelat informació personal. És important determinar primer el tipus de phishing (per correu electrònic, missatges de text o SMS, trucada telefònica, etc.).

• Pas 2: Desconnecta el dispositiu (si cal)

Si has baixat un fitxer adjunt o creus que el teu ordinador, telèfon o tauleta ha estat afectat, desconnecta’l d'Internet per evitar que l'atacant tingui accés remot a més informació dins del dispositiu o xarxa general.

• Pas 3: Canvia les teves contrasenyes

És important modificar totes les contrasenyes dels comptes afectats, començant pels més sensibles o que donin accés a informació confidencial (correu electrònic, banca, RRSS). Procura utilitzar contrasenyes complexes i diferents per a cada compte.

• Pas 4: Activa la verificació en dos passos

Habilita l'autenticació de dos factors a totes les plataformes, apps i pàgines web que comptin amb aquesta tecnologia de seguretat, per així afegir una capa extra de protecció. També, escaneja el teu dispositiu amb un antivirus o antimalware actualitzat per eliminar possibles amenaces.

• Pas 5: Contacta amb els involucrats

Si has aportat o revelat dades bancàries, comunica't amb el teu banc immediatament perquè procedeixi a bloquejar targetes o comptes, i faci seguiment dels pròxims moviments. Cancel·la qualsevol acord i informa'ls que estàs revocant el teu consentiment.

Si l'atac involucra la teva empresa, has d'informar el departament d'IT o ciberseguretat. També avisa els teus contactes perquè no caiguin al mateix engany.

• Pas 6: Reporta l'incident

Has de denunciar l'estafa a les autoritats competents, com ara la policia, Guàrdia Civil, CNMC (Comissió Nacional dels Mercats i la Competència), INCIBE (Institut Nacional de Ciberseguretat), l'Oficina de Seguretat de l'Internauta (OSI), etc.

• Pas 7: Monitora els teus comptes

Fes una revisió periòdica, durant diversos dies, dels teus moviments bancaris, l’activitat a les xarxes socials i al correu electrònic, per detectar a temps accessos no autoritzats o canvis sospitosos als teus comptes i perfils.

Quan ens posem en contacte amb tu a través dels nostres canals oficials, sempre ho fem en nom d’ENDESA ENERGIA. A més, quan es tracti d’una nova contractació, aportem i sol·licitem dades uniformement per la teva seguretat.