Estafes amb phishing: falsos SMS i mails suplanten Correus i la DGT per robar dades bancàries

Els Mossos, l'Agència de Ciberseguretat de Catalunya i l'Institut Nacional de Ciberseguretat alerten d'una campanya d'estafes a través de falsos missatges enviats als mòbils, als correus electrònics i a les xarxes socials per robar dades personals i bancàries.

En les últimes setmanes, s'ha detectat l'enviament massiu d'SMS o mails suplantant Correus o la DGT per notificar falsos paquets, multes o gestions pendents. I també una atractiva oferta a Facebook en què es fan passar per antics treballadors de Decathlon oferint gangues que no existeixen.

En tots els casos, els missatges inclouen un enllaç que porta a pàgines fraudulentes on demanen omplir formularis amb dades personals i bancàries per completar la suposada gestió pendent --com un tiquet d'estacionament-- o fer el pagament de la falsa multa o compra. L'objectiu és robar-les per retirar diners o cometre-hi frau.

Els missatges, que s'estan enviant de forma viral, inclouen faltes d'ortografia, d'accentuació o de picatge que permeten intuir que són falsos, com es pot veure al compte d'X dels Mossos:

La DGT no envia correus ni SMS de multes

En el cas de la DGT, s'estan detectant diversos tipus de missatges falsos, que arriben per moltes vies, com expliquen des d'INCIBE. L'Institut de Ciberseguretat Nacional alerta que "hi ha una campanya activa de pesca (phishing) que suplanta la Direcció General de Trànsit". I confirma que "la DGT no està enviant correus ni SMS per notificar multes de trànsit".

A més, adjunten els diferents formats de missatges fraudulents detectats, que van acompanyats d'enllaços que mai no s'han de clicar. En els correus detectats, l'assumpte és "Regularitzi el seu tiquet d'estacionament", però no descarten que s'estiguin enviant altres correus amb assumptes diferents.

Els enllaços porten a pàgines que copien l'estètica de la DGT i en què demanen les dades personals i bancàries. Per fer més creïble el frau, simulen una validació mitjançant un codi que hauria d'arribar al telèfon, però que no arriba mai.

Així i tot, en introduir qualsevol número, es carrega un altre formulari on es demana el pin de la targeta, que els permet robar les dades. Al final, el procés redirigeix a l'autèntica pàgina de la DGT, però els ciberdelinqüents ja tenen les dades per cometre el frau o robatori de forma immediata o més endavant.

En aquests missatges també es detecten alguns signes d'estafa, com la maquetació del correu, la salutació, l'adreça del remitent --que no és l'oficial--, o la sensació d'urgència que transmeten a les víctimes. I és que algunes notificacions inclouen un termini de pagament curt.

Què cal fer, tant si es pica com si no

Si es rep una d'aquestes notificacions, tant els Mossos com INCIBE recomanen denunciar-ho, encara que no s'hagi clicat al missatge o l'enllaç. Si, pel que sigui, hem picat, cal:

• Avisar de seguida la nostra entitat bancària per bloquejar tant la targeta com els moviments sospitosos.
• Guardar una captura dels missatges i proves abans d'esborrar-los. Revisar si ens han descarregat algun arxiu i esborrar-lo.
• Presentar una denúncia als Mossos i a l'Agència de Ciberseguretat de Catalunya o a l'INCIBE i adjuntar-hi les proves i captures.
• Avisar el nostre entorn, per si també reben missatges semblants (però sense enviar-los).
• Comprovar regularment si les nostres dades personals s'han filtrat a la xarxa i s'estan utilitzant sense el nostre consentiment.