Si prefereixes veure el web sempre en català, fes clic aquí.
Phishing: què és, com detectar-lo i què fer si reps un intent de suplantació
Els ciberdelinqüents intenten pescar en tota mena d'aigües, fent servir fraudulentament el nom de bancs, asseguradores… i també el d'Endesa. Volen que creguis que som nosaltres perquè et confiïs i els facilitis dades delicades. T'expliquem com protegir-te.
A l'era digital gairebé totes les gestions quotidianes es realitzen telefònicament o mitjançant canals en línia: correu electrònic, apps, webs, SMS o eines de missatgeria. Els ciberdelinqüents aprofiten qualsevol oportunitat per obtenir dades personals i usar-les fraudulentament.
Cada cop són més freqüents les accions directes i especialitzades per atacar els sistemes d'informació d'empreses, accions individuals basades en tècniques de persuasió sobre els clients, i accions orientades a descobrir informació personal existent al món digital públic (internet i xarxes socials). Tot això amb l'única finalitat d'obtenir dades personals fent-se passar per una persona o entitat legítima, com el teu banc o companyia elèctrica. Aquest tipus de frau es coneix com a phishing.
Segons la Global Anti-Scam Alliance, les estafes digitals van provocar a Espanya pèrdues de més de 7.400 milions d'euros el 2024, i un de cada sis ciutadans va rebre almenys un intent de frau.
Les gestions quotidianes amb les comercialitzadores elèctriques, com la consulta de factures, l'alta de contractes o la modificació de dades personals, no estan exemptes dels perills implícits d'un ús indegut, i, per tant, és molt important que tinguis activats els teus sistemes d'alerta per identificar els intents de phishing i no caure-hi.
Què és el phishing?
Però quan parlem de phishing concretament, a què ens estem referint?
El phishing és una forma d'enginyeria social en què un ciberdelinqüent o estafador, es fa passar per empreses o institucions legítimes per persuadir el client i que aquest comparteixi informació sensible. Hi ha un patró comú en aquest tipus d'enganys: aprofitar la confiança en una persona o entitat reconeguda mitjançant la utilització d'un llenguatge personalitzat i proper, unit a una sensació induïda d'urgència o de necessitat.
El propòsit d'aquestes pràctiques fraudulentes és obtenir un benefici econòmic o qualsevol avantatge indegut mitjançant la utilització o divulgació d'informació sensible o confidencial.
Formes més comunes de phishing
El terme phishing té una antiguitat de més de 30 anys i les variacions i tècniques emprades han evolucionat exponencialment en aquestes tres darreres dècades.
Com a dada, cal destacar que el volum econòmic implícit a la ciberdelinqüència és, des de ja fa més de 5 anys, superior a aquell associat al narcotràfic com a activitats il·lícites. Els ciberdelinqüents, a més, modifiquen d'una manera dinàmica la seva actuació en canals i mitjans per aconseguir els objectius directes sobre les seves víctimes.
Els exemples més freqüents d'accions de phishing utilitzen i combinen correus electrònics, SMS i trucades telefòniques amb discursos i missatges propers per condicionar les accions dels clients, sempre amb aquest objectiu maliciós. Relats creïbles, missatges propers, alta personalització a les converses, utilització de dades tècniques, factures pendents o actualització de dades contractuals, són els ganxos més habituals en els diàlegs dels ciberdelinqüents cap a les seves víctimes.
El canal més comú continua sent el correu electrònic. Els atacants envien un missatge que sembla procedir d'una entitat de confiança amb un assumpte que genera alarma o urgència, com ara un pagament pendent, una devolució o un problema amb un compte. Al missatge normalment s'hi inclou un enllaç que redirigeix a una pàgina falsa o a un fitxer adjunt que, en obrir-se, instal·la un programa maliciós al dispositiu mòbil o ordinador.
L'evolució de la ciberdelinqüència està lligada directament a l'evolució tecnològica i a la digitalització de la societat de la informació. En aquest context, la irrupció de la intel·ligència artificial ha elevat i especialitzat la sofisticació d’aquest tipus d’atacs.
Mitjançant l'accés a informació pública com la compartida a les xarxes socials, els ciberdelinqüents generen missatges altament personalitzats i realistes, molt més difícils de distingir i tan versemblants com un missatge autèntic. A més, amb l'ús de la intel·ligència artificial generativa, cada vegada és més fàcil poder persuadir i actuar sobre les emocions i els comportaments de l'ésser humà.
L'aplicació del phishing per SMS, conegut com a smishing (phishing per SMS), és una altra de les vies més esteses. En aquest cas, un SMS arriba al mòbil acompanyat d’un enllaç a un lloc web que imita el web d'una empresa o institució real. La brevetat i l'aparença professional fan que augmenti la possibilitat que la víctima accedeixi a l'enllaç.
També hi ha intents de frau telefònic, anomenats vishing (phishing telefònic). Aquí, l'estafador contacta directament amb la víctima i, amb un to convincent, sol·licita dades personals o bancàries, habitualment al·legant una verificació, un error als sistemes o amenaçant amb un càrrec, penalització o una suspensió del servei contractat.
La combinació de canals de comunicació (SMS, email i trucada telefònica) permet dotar d'una realitat més gran el relat i augmentar les probabilitats d'èxit dels ciberdelinqüents.
A més, hi ha altres modalitats de phishing que convé conèixer:
- Spear phishing
Atac personalitzat, adreçat a una persona específica o a un grup dins d'una organització o empresa per obtenir accés a informació confidencial o per comprometre sistemes interns. Sol realitzar-se amb correus personalitzats que semblen enviats per un col·lega o superior, sol·licitant accés a documents o credencials privades.
- Whaling
Variant del “spear phishing”, però amb la missió d’atacar alts executius o persones amb poder de decisió dins de l'organització, per tractar de “robar” informació financera, autoritzar transferències o accedir a dades estratègiques. Un exemple són els correus falsos vinculats al CEO sol·licitant una transferència urgent de fons.
- Clone phishing
L'atacant clona un correu electrònic legítim rebut prèviament i el reenvia a la víctima, incloent-hi un enllaç o un fitxer maliciós adjunt. L'objectiu és aprofitar la confiança de l'usuari amb el correu original, perquè caigui a la trampa i faciliti dades confidencials.
- Pharming
Manipulació tècnica que redirigeix l'usuari des d'una pàgina web legítima a una falsa sense que aquest ho noti, per robar contrasenyes, credencials o dades bancàries. Un exemple és escriure l'URL del banc al navegador i ser redirigit a una pàgina fictícia idèntica a l'original, on es capturen les dades d'accés.
Senyals que delaten el phishing
Hi ha alguns indicadors comuns que permeten reconèixer un intent de suplantació abans que sigui tard:
- Remitent dubtós: si l'adreça de correu no coincideix exactament amb l'oficial, o bé utilitza dominis estranys o subdominis afegits, convé desconfiar.
- Trucades i contactes des de telèfons desconeguts: activa sempre la teva alerta davant de trucades o missatges inesperats i no sol·licitats. Verifica la identitat del remitent abans de compartir qualsevol dada personal o sensible. És important corroborar la informació acudint als canals oficials de proveïdors/subministradors de béns i serveis.
- Errors ortogràfics o ús de llenguatge no natural que delata textos mal traduïts.
- Salutacions impersonals (“Estimat client”) o informació genèrica o incorrecta.
- Urgència o amenaces: missatges redactats requerint accions immediates o l'ús d'amenaces (“el vostre compte serà bloquejat si no actueu immediatament”, “procedirem a la suspensió del servei”) si no es respon en un termini de temps molt reduït.
- Enllaços sospitosos: no facis clic a cap enllaç sense tenir la certesa que la comunicació prové d'una acció sol·licitada prèviament.
- Sol·licituds inusuals: desconfia d'aquelles empreses que sol·liciten contrasenyes, números de targeta bancària o dades personals per correu electrònic o SMS. Evita instal·lar aplicacions de verificació de dades en dispositius personals i acudeix sempre als canals oficials per verificar l'autenticitat del missatge.
Exemples de phishing en nom d'Endesa
En ser la principal elèctrica del país, els ciberdelinqüents no podien ignorar Endesa i en nombroses ocasions han intentat fer servir el seu bon nom per ensarronar les víctimes. Han fet servir diverses estratègies, orquestrant veritables campanyes de phishing. Com, per exemple, quan reps un mail en nom d'Endesa:
Alerta email fraudulento reembolso Endesa.
Què fer si reps un intent de phishing
La gestió d'un ciberatac és diferent en funció de l'etapa on ens trobem. Identifiquem tres grans moments en tot aquest procés:
- Previ a un ciberatac.
- Durant el procés de ciberatac.
- Un cop es tingui consciència d’haver estat objecte d'una estafa.
Previ a un ciberatac: prevenció
Aquesta fase és crítica per anar preparant-te com a objectiu potencial d'una estafa per ciberdelinqüència. Ningú no està exempt de ser objecte del phishing. Moltes vegades cedeixes les teves dades personals d'una manera inconscient, d’altres ofereixes aquestes dades voluntàriament a tercers, i fins i tot les teves dades poden ser obtingudes després d'un atac previ a plataformes o bases de dades per hackers tecnològics.
De tota manera, has d'estar informat i posar atenció a tota comunicació explícita sobre aquesta matèria, i conèixer que aquestes pràctiques fraudulentes són més habituals del que et pots imaginar.
La comunicació, la informació i una escolta activa són els teus aliats principals. Has de ser, en general, una mica desconfiat i mirar amb atenció (i prevenció) els diferents consells que t'arriben. Evita el factor desconeixement/sorpresa que aquests processos de frau porten associats.
La prevenció és l'eina més eficaç davant del phishing, per això:
- Mantingues els dispositius i programes actualitzats.
- Usa contrasenyes úniques i complexes, i habilita el doble factor d'autenticació en tots els serveis possibles.
- Verifica l'autenticitat dels webs abans d’introduir dades personals. Cerca el símbol de protecció al navegador (cadenat), comprova el domini i l'ortografia de la pàgina.
- Limita els permisos de les aplicacions mòbils, i revisa periòdicament quins accessos tenen a la nostra informació.
La formació i la prudència són essencials. Entendre com funcionen les estafes digitals i desconfiar de missatges que apel·len a la urgència, la por o la recompensa econòmica, pot marcar la diferència entre detectar un intent de frau o convertir-se en víctima.
Durant el procés de ciberatac: precaució
En rebre un missatge sospitós, el primer que cal fer és no interactuar amb aquest. Encén totes les alertes i actua amb prudència. No premis enllaços ni obris fitxers adjunts: qualsevol clic pot desencadenar un procés maliciós sobre el teu dispositiu, o iniciar un nou diàleg a la plataforma del ciberdelinqüent perquè intercanviïs dades personals.
Tot seguit, elimina aquesta comunicació i accedeix a través dels canals oficials de l'empresa (telèfons, web o app) per verificar l'autenticitat de la comunicació.
A Endesa, posem a la teva disposició diverses eines multicanal que et permeten verificar l'autenticitat de les comunicacions rebudes i confirmar-ne el propòsit real. Et recomanem que no facis clic a cap enllaç sense tenir la certesa que la comunicació prové d'una acció sol·licitada prèviament.
A escala nacional, l'Institut Nacional de Ciberseguretat (INCIBE) ofereix ajuda gratuïta i confidencial a través del número 017.
És aconsellable conservar captures de pantalla i detalls de l'intent de frau, perquè les autoritats i els organismes competents puguin fer una investigació i posar fre a l'intent d'estafa en altres usuaris.
En cas que l'intent de frau arribi a través de trucades telefòniques, pregunta abans d'iniciar qualsevol interacció, aclareix el propòsit de la trucada amb la persona que et truca, i mai et deixis portar per tot el que et diuen. Recorda, tu no has iniciat la trucada i, per tant, has de conèixer i comprendre el missatge. I davant de qualsevol dubte, no prenguis cap acció i verifica la informació posant-te en contacte amb els canals oficials de la teva companyia.
Quan ja has estat atacat: rapidesa
Si ets conscient del frau i saps que has estat víctima d'un ciberatac, com per exemple, has proporcionat informació delicada o has descarregat un fitxer maliciós, el temps es converteix en un factor decisiu. Has d'actuar amb rapidesa.
Contacta amb l'entitat afectada (empresa amb la qual tens el producte o servei contractat objecte del frau) per a informar de l'incident. Això permetrà bloquejar operacions sospitoses i monitorar moviments irregulars.
Si has instal·lat algun fitxer maliciós, analitza el dispositiu amb algun antivirus actualitzat i evita utilitzar-lo.
En cas que hagis subministrat dades bancàries (comptes corrents, IBAN o números de targetes de crèdit), truca immediatament a la teva entitat financera perquè bloquegin qualsevol càrrec, i sol·licita que les targetes de crèdit siguin cancel·lades.
Denuncia el frau. Els principals canals de denúncia disponibles a Espanya són:
- L’Institut Nacional de Ciberseguretat (INCIBE), trucant al número gratuït 017 o seguint les instruccions que trobaràs a la seva pàgina web.
- La Policia Nacional, a través de qualsevol Comissaria del Cos Nacional de Policia o el formulari on-line que permet gestionar les diligències corresponents.
- La Guàrdia Civil, a través de la Unitat de Delictes Telemàtics.
Denunciar aquests fets no només protegeix l'usuari, sinó que ajuda les autoritats a identificar patrons de frau i desmantellar xarxes organitzades.
I, finalment, comparteix la teva experiència amb la teva xarxa de contactes i amb el teu cercle proper per permetre que la prevenció del frau sigui una realitat.
Com protegim els nostres clients i què fem davant dels intents de suplantació a Endesa
A Endesa apliquem protocols de seguretat que impedeixen la suplantació dels nostres canals oficials i garantim l'autenticitat de les nostres comunicacions. No sol·licitarem mai informació personal, contrasenyes, ni dades bancàries per correu o SMS.
Els nostres missatges oficials inclouen sistemes de verificació com la signatura digital o dominis certificats, i els SMS corporatius s'envien des de números verificats. Addicionalment, posem a la teva disposició una eina que permet verificar si una trucada és legítima.
Quan es detecta un intent de frau, activem mecanismes d'alerta i col·laborem amb les autoritats per identificar i neutralitzar l'amenaça. A Endesa, mantenim una estratègia clara, directa i dinàmica enfocada a protegir els nostres clients i totes les seves dades personals.
Durant el darrer any hem desenvolupat 17 iniciatives de comunicació i conscienciació, dirigides tant a clients com al públic general i als empleats de la companyia. Aquestes accions inclouen continguts informatius, campanyes en línia, materials audiovisuals, comunicacions internes o eines de verificació, entre d'altres, amb un objectiu clar: reforçar la prevenció del frau digital i elevar el nivell d'alerta davant d'intents de suplantació.
La prudència, clau contra el phishing
El phishing és una de les amenaces digitals més esteses, però també una de les més evitables si es compta amb la informació i les eines adequades.
Desconfia dels missatges inesperats, verifica sempre les fonts i mantingues bones pràctiques digitals.
A Endesa reforcem cada dia els nostres sistemes d'informació per protegir els nostres clients, però la seguretat total davant del frau només és possible amb la col·laboració i la prudència de tots: Administració pública, empreses i clients davant d'aquest tipus d'amenaces.
En un context en què la tecnologia i la digitalització avancen a un ritme exponencial, la ciberdelinqüència es converteix en una amenaça constant. La millor defensa continua sent la formació amb informació i la precaució.
Descobreix en un minut la tarifa que millor s'adapta a tu:
{{firstStep.title}}
Descobreix en un minut la tarifa que millor s'adapta a tu:
{{title}}
{{content.phone.title}}
{{content.phone.text}}
{{content.phone.phoneText}}
{{content.form.title}}
{{content.form.text}}
{{content.form.success.title}}
A Endesa no t'has d'adaptar a les nostres tarifes perquè elles s'adapten a tu. Compara les diferents tarifes tu mateix entrant al nostre catàleg. O, si ho prefereixes, respon a algunes preguntes i ens encarreguem de comparar entre totes les tarifes de llum i gas per oferir-te una recomanació personalitzada.
Descobreix en un minut la tarifa que millor s'adapta a tu:
{{title}}
{{content.phone.title}}
{{content.phone.text}}
{{content.phone.phoneText}}
{{content.form.title}}
{{content.form.text}}
{{content.form.success.title}}
A Endesa no t'has d'adaptar a les nostres tarifes perquè elles s'adapten a tu. Compara les diferents tarifes tu mateix entrant al nostre catàleg. O, si ho prefereixes, respon a algunes preguntes i ens encarreguem de comparar entre totes les tarifes de llum i gas per oferir-te una recomanació personalitzada.
Comparador de tarifes de Llum i Gas
A Endesa no t'has d'adaptar a les nostres tarifes perquè elles s'adapten a tu. Compara les diferents tarifes tu mateix entrant al nostre catàleg. O, si ho prefereixes, respon a algunes preguntes i ens encarreguem de comparar entre totes les tarifes de llum i gas per oferir-te una recomanació personalitzada.
Vols veure totes les nostres ofertes?
Descobreix en un minut el producte que més s'adapta a tu:
{{firstStep.title}}
Descobreix en un minut el producte que més s'adapta a tu:
{{title}}
Descobreix en un minut el producte que més s'adapta a tu: