Amenaces

Phishing: Com Identificar Correus Fraudulents i Protegir la teva Empresa

Equip CiberPIME · · 7 min de lectura
Lee este articulo en castellano

El phishing és, amb diferència, el vector d’atac més utilitzat contra les empreses espanyoles. Segons l’INCIBE, el 94% dels ciberatacs comencen amb un correu electrònic maliciós. El 2023, Espanya va ser el tercer país europeu amb més intents de phishing, i les PIMEs representen el col·lectiu més afectat. Un sol empleat que fa clic en un enllaç fraudulent pot comprometre tota la xarxa de l’empresa, provocar una fuga de dades o desencadenar un atac de ransomware.

Entendre com funciona el phishing i com reconèixer-lo és la defensa més eficaç i econòmica que existeix.

Què és el phishing i com ha evolucionat

El phishing és una tècnica d’enginyeria social en la qual l’atacant es fa passar per una entitat de confiança (un banc, un proveïdor, l’Agència Tributària, un col·lega de feina) per enganyar la víctima i aconseguir que reveli informació confidencial, faci clic en un enllaç maliciós o transfereixi diners.

En els seus inicis, els correus de phishing eren fàcilment reconeixibles: faltes d’ortografia, traduccions automàtiques deficients, remitents obviament falsos. Avui en dia, amb l’ús d’intel·ligència artificial, els atacants generen correus pràcticament indistingibles dels legítims, personalitzats amb dades reals obtingudes de LinkedIn, la web de l’empresa o xarxes socials.

Tipus principals de phishing que afecten les PIMEs

Phishing massiu (bulk phishing): S’envia el mateix correu a milions de destinataris esperant que un petit percentatge caigui. Solen suplantar entitats conegudes: Correus, l’Agència Tributària, bancs, Netflix, PayPal.

Spear phishing: Atac dirigit a una persona o empresa concreta. El correu està personalitzat amb informació real sobre la víctima. És molt més perillós perquè resulta més difícil de detectar. Exemple: un correu que sembla venir del teu banc, esmenta el teu número de compte parcial i et demana verificar una transacció.

Business Email Compromise (BEC) o frau del CEO: L’atacant suplanta el director general o un altre alt directiu i envia un correu urgent al departament financer ordenant una transferència. És el tipus de phishing més lucratiu: el 2023, l’FBI va estimar pèrdues globals superiors als 2.900 milions de dòlars per aquesta modalitat.

Smishing: Phishing per SMS. Molt comú amb missatges que suplanten Correus, bancs o la Seguretat Social.

Vishing: Phishing per trucada de veu. L’atacant truca fent-se passar per suport tècnic, el banc o fins i tot la policia.

Quishing: Phishing mitjançant codis QR. Cada vegada més freqüent en entorns físics (restaurants, aparcaments) i també en correus electrònics.

Les 10 senyals d’alerta d’un correu de phishing

Encara que els atacs moderns són més sofisticats, la majoria comparteix patrons recognoscibles:

  1. Urgència artificial: “El seu compte serà cancel·lat en 24 hores”, “Acció immediata requerida”. L’objectiu és que actuïs sense pensar.
  2. Remitent sospitós: L’adreça de correu no coincideix amb el domini oficial. Exemple: suport@microsoft-ajuda.com en lloc de suport@microsoft.com. Fixa’t sempre en el domini complet, no només en el nom que apareix.
  3. Enllaç que no coincideix amb el text: Passa el cursor per sobre de l’enllaç (sense fer clic) i comprova que la URL que apareix a baix correspon al lloc legítim.
  4. Fitxers adjunts inesperats: Una factura que ningú t’ha demanat, un albarà d’un proveïdor desconegut, un document de Word que “necessita habilitar macros”.
  5. Sol·licituds inusuals: El teu banc mai et demanarà la contrasenya completa per correu. L’Agència Tributària mai et demana que facis una transferència urgent.
  6. Errors gramaticals o de format: Encara que cada vegada menys freqüents, els errors en l’idioma, els logotips pixelats o el format inconsistent són senyals d’alerta.
  7. Domini molt similar al legítim: Tècnica coneguda com a typosquatting. Exemples: arnazon.com en lloc d’amazon.com, paypa1.com en lloc de paypal.com.
  8. Sol·licitud de credencials en un formulari web: Els serveis legítims gairebé mai et demanen que “confirmes la teva contrasenya” fent clic en un enllaç del correu.
  9. Remitent conegut amb comportament inusual: Si reps un correu estrany d’un contacte real (un proveïdor, un col·lega), pot ser que el seu compte hagi estat compromès. Truca per telèfon per verificar.
  10. Correus que porten a pàgines sense HTTPS: Encara que HTTPS ja no garanteix que un lloc sigui legítim, l’absència d’HTTPS és un senyal d’alarma clar.

El frau del CEO: com funciona i com prevenir-lo

El Business Email Compromise mereix atenció especial perquè pot causar pèrdues de desenes o centenars de milers d’euros en una sola transacció. L’esquema típic és:

  1. L’atacant investiga l’empresa a LinkedIn, la web i xarxes socials per identificar el CEO, el responsable financer i els empleats del departament de pagaments.
  2. Espera un moment estratègic: el CEO és de viatge, és divendres a la tarda, hi ha una adquisició en marxa.
  3. Envia un correu que sembla venir del CEO al responsable financer, amb un llenguatge similar al que fa servir realment el directiu, demanant una transferència urgent i confidencial.
  4. Pressiona perquè es faci ràpid i en secret, invocant una oportunitat de negoci, una multa o una situació delicada.

Com prevenir-ho:

  • Estableix un protocol de verificació per doble canal per a qualsevol transferència superior a un import acordat (per exemple, 1.000€). Si l’ordre arriba per correu, es confirma sempre per telèfon o en persona.
  • Mai executis una transferència urgent i confidencial sense verificar per telèfon.
  • Forma l’equip financer específicament sobre aquesta amenaça.
  • Configura regles al servidor de correu per marcar els correus externs que suplanten dominis interns.

Mesures tècniques per protegir el correu corporatiu

La formació és imprescindible, però no suficient. Aquestes mesures tècniques creen capes de protecció addicionals:

Registres SPF, DKIM i DMARC

Aquests tres registres DNS són la base de l’autenticació del correu electrònic. Eviten que tercers enviïn correus usant el teu domini:

  • SPF: Defineix quins servidors estan autoritzats a enviar correu en nom del teu domini.
  • DKIM: Signa criptogràficament els correus sortints per garantir la seva integritat.
  • DMARC: Defineix què s’ha de fer amb els correus que no superin les comprovacions SPF o DKIM, i envia informes.

Pots comprovar el seu estat en eines gratuïtes com MXToolbox (mxtoolbox.com).

Filtratge avançat de correu

  • Google Workspace: Inclou protecció avançada contra phishing i malware. Activa les opcions de “Protecció avançada de phishing i malware” a la consola d’administració.
  • Microsoft 365: El pla Business Premium inclou Microsoft Defender for Office 365, amb protecció avançada contra phishing, enllaços i adjunts maliciosos (Safe Links, Safe Attachments).

Autenticació multifactor (MFA)

Encara que un empleat reveli les seves credencials en una pàgina de phishing, el MFA impedeix que l’atacant accedeixi al compte sense el segon factor. Activa’l en tots els comptes corporatius.

Formació i simulacions de phishing

EinaPla per a PIMEsPreu aproximat
KnowBe4Silver (fins a 25 usuaris)~25€/usuari/any
Proofpoint Security AwarenessPime~20€/usuari/any
HoxhuntStarter~15€/usuari/any
GoPhishOpen sourceGratuït (autoallotjat)

Una simulació trimestral de phishing, combinada amb formació immediata per als empleats que cauen, redueix la taxa de clics en un 60-70% en el primer any.

Què fer si reps un correu sospitós

Protocol bàsic per als empleats:

  1. No facis clic en cap enllaç ni obris cap adjunt.
  2. No responguis al correu ni reenviïs informació.
  3. Reporta el correu a IT o al responsable de seguretat de la teva empresa.
  4. Si has fet clic accidentalment: Informa immediatament a IT, canvia les contrasenyes dels comptes potencialment compromesos i activa el MFA si no ho estava.

Què fer si has estat víctima de phishing

  1. Canvia immediatament les contrasenyes de tots els comptes afectats.
  2. Contacta amb el teu banc si hi va haver una transferència. En molts casos, si s’actua en les primeres hores, és possible revertir-la.
  3. Denuncia davant les Forces de Seguretat: Policia Nacional (Brigada d’Investigació Tecnològica) o Guàrdia Civil (Grup de Delictes Telemàtics).
  4. Reporta a l’INCIBE: Telèfon 017 o a incibe.es.
  5. Notifica a l’AEPD si hi va haver exposició de dades personals de clients o empleats (obligatori en un màxim de 72 hores segons el RGPD).

Conclusió

El phishing és un problema de persones, no només de tecnologia. La combinació més efectiva és: mesures tècniques (SPF/DKIM/DMARC, filtratge avançat, MFA) més formació contínua dels empleats. Cap de les dues per separat és suficient.

En una PIME, on normalment no hi ha un equip de seguretat dedicat, la cultura de la desconfiança sana és la millor defensa: abans de fer clic, pensar. Abans de transferir, verificar. Abans d’obrir, comprovar.

Aquest article és de caràcter educatiu i no constitueix un servei professional de ciberseguretat. Consulteu un especialista certificat per a solucions específiques a la vostra empresa.

Avis important: CiberPIME publica contingut educatiu sobre ciberseguretat. No oferim serveis professionals de seguretat informatica ni assessorament personalitzat. Per a decisions critiques de seguretat, consulteu un professional certificat.