Ciberseguretat · element 60
Phishing
Verifica abans de clicar
En una frase
El phishing és l'intent d'enganyar-te perquè donis dades sensibles —contrasenyes, codis, número de targeta o accés al compte— fent-se passar pel teu banc, una empresa o una administració. La defensa principal és simple: atura't i verifica pel teu compte abans de clicar o respondre.
Què significa
El phishing és una tècnica d'enginyeria social: no busca trencar una contrasenya per força bruta, sinó convèncer-te perquè la donis tu.
Pot arribar per diferents canals:
| Canal | Nom habitual |
|---|---|
| Correu electrònic | Phishing |
| SMS | Smishing |
| Trucada telefònica | Vishing |
| WhatsApp o missatgeria | Suplantació o frau per missatgeria |
| Xarxes socials | Perfils o anuncis falsos |
| Cercadors | Webs falses posicionades com si fossin oficials |
El missatge sol imitar una entitat de confiança: banc, Hisenda, Seguretat Social, Correus, una empresa de paqueteria, una plataforma de compravenda o un servei d'inversió.
Normalment busca una d'aquestes coses:
- Que facis clic en un enllaç fals.
- Que introdueixis usuari i contrasenya.
- Que donis el número de targeta.
- Que facilitis un codi de verificació.
- Que instal·lis una app o programa.
- Que facis una transferència.
- Que autoritzis una operació pensant que l'estàs anul·lant.
Senyals d'alerta
| Senyal | Exemple |
|---|---|
| Urgència | "El teu compte quedarà bloquejat avui" |
| Por | "Hem detectat una operació sospitosa" |
| Premi o devolució | "Tens una devolució pendent" |
| Enllaç estrany | El text sembla oficial, però el domini no quadra |
| Petició de codis | Et demanen OTP, 2FA o claus de signatura |
| Remitent sospitós | L'adreça no és el domini oficial |
| Arxius inesperats | Factures, multes o avisos que no esperaves |
| Trucada massa convincent | Diuen ser del banc i ja tenen algunes dades teves |
| Pressa per actuar | Volen que decideixis abans de pensar |
El problema és que cada cop tenen millor aspecte. Amb IA, plantilles reals i dades filtrades, molts missatges ja no tenen faltes evidents. Per això la defensa va més enllà de "mirar si sembla fals": la defensa és verificar per un canal independent.
Per què és important
Importa perquè és una de les portes d'entrada més habituals al frau financer.
Un atac pot començar amb un SMS que sembla del banc, una trucada que suplanta el número de l'entitat, un WhatsApp sobre una entrega pendent o un anunci d'inversió amb una cara coneguda.
El phishing funciona perquè juga amb emocions molt humanes: por de perdre diners, urgència, aversió a la pèrdua, curiositat o confiança en una marca coneguda.
També és perillós perquè el correu electrònic i el mòbil són la porta d'entrada a molts serveis. Si algú aconsegueix accedir al teu correu, pot intentar recuperar contrasenyes d'altres comptes. Si aconsegueix un codi d'un sol ús, pot autoritzar operacions en aquell moment.
La regla d'or: verifica pel teu compte
Davant de qualsevol missatge que demani una acció urgent relacionada amb diners:
- No cliquis l'enllaç.
- No responguis el missatge.
- No donis codis ni contrasenyes.
- No truquis al número que apareix al missatge.
- Entra tu mateix a l'app o web oficial.
- Si cal, truca al número oficial de l'entitat, per exemple el del darrere de la targeta.
Si el problema és real, el veuràs entrant pel teu compte. Si només existeix dins del missatge, probablement era l'estafa.
Estafes financeres habituals
| Estafa | Com funciona |
|---|---|
| SMS fals del banc | "Targeta bloquejada" o "operació sospitosa" amb enllaç a web falsa |
| Trucada del "departament de seguretat" | Et demanen codis per "anul·lar" una operació que ells mateixos estan intentant fer |
| Devolució d'Hisenda | Prometen una devolució i demanen targeta o dades bancàries |
| Paquet pendent | Et fan pagar una petita quantitat per obtenir dades de targeta |
| Suport tècnic fals | Diuen que tens un virus i demanen accés remot |
| Inversió miraculosa | Prometen rendiments alts i ràpids amb una falsa entitat |
| Fals familiar per WhatsApp | "Soc el teu fill, he canviat de número, necessito diners" |
| Fals Bizum o compravenda | Et fan acceptar una sol·licitud pensant que cobres, però en realitat pagues |
Com aplicar-ho avui
- Activa alertes de moviments al banc. Et permeten detectar càrrecs estranys de seguida.
- Guarda al mòbil el telèfon oficial del teu banc o consulta'l sempre des de l'app o la targeta.
- Entra al banc només des de l'app oficial o escrivint tu l'adreça. No des d'enllaços rebuts.
- Activa el doble factor d'autenticació als comptes importants.
- Fes servir un gestor de contrasenyes. Si el gestor no omple la contrasenya en una pàgina que sembla del teu banc, pot ser una web falsa.
- Desconfia de qualsevol missatge que et faci actuar amb pressa. La pressa és part de l'atac.
Si ja has picat
Actua ràpid:
- Truca immediatament al banc pel número oficial.
- Bloqueja targetes o comptes si cal.
- Canvia la contrasenya del servei afectat.
- Canvia també la del correu si has introduït dades o tens dubtes.
- Revoca sessions obertes i dispositius desconeguts.
- Guarda captures, SMS, correus i números de telèfon.
- Contacta amb INCIBE al 017.
- Denuncia si hi ha pèrdua econòmica o suplantació.
En fraus amb targeta o banca digital, el temps importa: com més aviat avisis l'entitat, més opcions tens de limitar el dany.
Errors comuns
- Clicar perquè "semblava del banc".
- Donar codis 2FA o OTP per telèfon.
- Pensar que una trucada és segura perquè surt el número del banc (es pot falsejar).
- Entrar a la banca des d'un enllaç d'un SMS.
- Confiar en un missatge perquè no té faltes d'ortografia.
- Actuar de pressa perquè el missatge fa por.
- No avisar el banc immediatament quan sospites que has picat.
- Pensar "a mi no em passarà". Les estafes funcionen precisament perquè estan dissenyades per agafar-te en un mal moment.
Vinculat amb
- 2FA — Doble factor actiu
- Gestor de contrasenyes
- Còpia de seguretat 3-2-1
- Descompte hiperbòlic
- Les pèrdues pesen més
Recursos
📚 OSI — Fraus bancaris, phishing, smishing i vishing. Guia oficial (INCIBE) amb exemples reals. INCIBE defineix el smishing com l'enviament d'SMS fraudulents que suplanten entitats legítimes per robar informació o fer càrrecs econòmics.
📚 INCIBE — Línia d'ajuda 017. Telèfon gratuït i confidencial per a dubtes i incidents de ciberseguretat.
📚 Banco de España — Consells de seguretat i fraus. Recorda que aquestes estafes sovint busquen dades bancàries, claus d'un sol ús o OTP, i que cap entitat les demana per canals no segurs.
📚 CNMV — Advertències sobre xiringuitos financers. Llista d'entitats no autoritzades i alertes d'estafes d'inversió.
Davant la pressa per clicar, atura't i verifica pel teu compte.
← Tornar a la taula