Els fets:
1.- El passat 18 d’agost vam rebre dos correus adreçats a un dels nostres clients d’Andorra, en la bústia del seu representant a la UE pel que fa a l’RGPD. Un ens avisava d’una renovació necessària i l’altre, datat 3 dies després, ens ho recordava. Els correus estaven molt bé fets i el qui no sàpiga suficient sobre aquesta tècnica podria “picar” en l’engany fàcilment (veure correu de la dreta en la següent pàgina).
2.- 15 dies després vam rebre un tercer correu dient-nos molt amablement que si no paguem la renovació s’aturarien tots els serveis que ens donaven. Novament el correu es impecable, i és fàcil “picar” (veure correu de l’esquerra en la següents pàgina).

Engany del “phishing”: L’atacant es fa passar per alguna persona de confiança (física o jurídica) per demanar-te dades personals.

Propòsit de l’atacant: robar-te, fer accions en el teu nom, desacreditar-te, suplantar-te, segrestar el teu disc, etc.
Imatges del primer i tercer correus electrònics que vam rebre en relació a aquesta campanya de "phishing".
Perquè semblen confiables?

L’adreça del primer correu és validacion@aruba. ..., i Aruba es l’empresa que desenvolupa els serveis cloud que Telefónica ofereix a les empreses.

Acens és l’empresa que porta els serveis cloud de Telefónica.

Està molt ben escrit (probablement copiat d’un correu vertader).

El link de l’engany té bona pinta http://panel-acens-redirect-....com/redirect-acens.php.

Tots els links a polítiques de privadesa, contacte, etc. que hi ha al peu del correu son d’acens (els continguts vertaders).
Perquè NO SÓN confiables?

El que s’ha de mirar en els dominis no és el principi, sinó el final. 

De tota la adreça validació@aruba.pagam1sella.it  l’únic que es registra com a domini (pel que, més o menys es fiable) son les dues últimes paraules: “pagam1sella.it”. La resta, malgrat que sigui la part que més mirem, la pot fixar el propietari del domini (es a dir, qui et vol robar) com vulgui, i no té cap control de cap institució.

El mateix passa amb el link de l’engany. El domini que es registra és “noleggiobicidoctorbike.com”. La resta del link, malgrat que sigui la part que més mirem, la fixa com vulgui l’atacant i no hi ha cap control fins que algú denuncia al propietari del domini (sense major efecte que l’esborrat d’aquest domini i la creació d’un de nou).
... I segueixen:
Avui, més d’un mes després de rebre el primer correu, hem rebut un quart intent de phishing.
Han canviat el domini per evitar que els agafen, i igual que faria Telefónica o el mateix Acens per no perdre un client que es vol donar de baix, l’atacant continua amb la seva campanya de màrqueting per persuadir-nos a clicar el link que ens portaria a la seva web.
Aquest quart intent encara és més perillós perquè el link no és visible, i un podem clicar-ho sense adonar-nos.