com detectar el fishing i consells senzills per a evitar-lo

És conegut que el fishing és una pràctica delictiva cada vegada més estesa a Internet. Els delinqüents envien correus fent-se passar per organitzacions importants amb molts clients a nivell mundial per tal d'assegurar que un nombre molt elevat de persones sigui usuari del servei en qüestió. Exemples clars són entitats bancàries, empreses de transport, serveis de pagament, serveis de correu electrònic, ...

La manera d'operar és molt senzilla: envien correus de forma massiva fent-se passar per una organització determinada dient a l'usuari que per algun motiu (normalment per temes de seguretat) el servei s'ha suspès fins que no s'indentifiqui. El "truc" està en crear un correu electrònic amb una aparença "oficial" i en enviar a l'usuari a un web que és una còpia exacta de l'original. Si l'usuari cau en la trampa indicarà les seves dades d'accés (usuari i contrasenya) pensant-se que està reactivant el seu compte d'usuari amb el servei però en realitat el que estarà fent serà facilitar-li les dades al delinqüent que, a partir d'aquell moment, podrà accedir fent-se passar per l'usuari a qui ha enganyat. Si l'usuari no adverteix l'estafa es pensarà que tot ha anat correctament i el servei s'ha reactivat, entrarà s'identificarà i tot anirà bé (de fet mai ha deixat de funcionar) i, mentre el delinqüent podrà fer-se passar tranquil·lament per l'usuari.

Un exemple que ens ha arribat per correu electrònic: Un missatge presumptament enviat per PayPal dient-nos què hem de fer per a recuperar l'accès al nostre compte d'usuari. Com en tots els casos de fishing si s'està atent al correu rebut es detecten algunes coses que el delaten. En aquest cas el correu no ve del domini de PayPal (paypal.com) sinó d'un molt paregut (pay-pal.com). L'enllaç al que ens remet el correu per a "recuperar" el compte ens porta a un web que no està al domini de paypal.com sinó a updateaccount.org.

Quan hem intentat accedir a l'enllaç els navegadors firefox i chrome ens han alertat:

avís de Firefox sobre el fishing

avís de Chrome sobre el fishing (pesca)

Tot i les advertències dels navegadors hem accedit igualment i ens hem trobat amb un web que és una còpia gairebé exacta de l'original:

Consell: Davant de qualsevol petició de dades d'accès a un servei en lloc d'anar a l'enllaç que hi hagi al correu rebut, entreu al servei de manera manual des del vostre navegador identifiqueu-vos i comproveu que tot està correcte. Si heu caigut "a la trampa" i us adoneu abans no sigui tard entreu manualment al servei, identifiqueu-vos i canvieu la contrasenya.