Les tècniques de Pesca de dades (Phishing) són cada vegada més sofisticades, pensades per enganyar fins i tot una persona que domini més o menys el món digital. A mi també m’ha passat, sí. Em fa una mica de vergonya admetre la meva pròpia ingenuïtat, però crec que explicar-ho potser pot ajudar a qui es trobi en circumstàncies semblants.
Imagineu que us truquen al telèfon fix un dissabte a la tarda i us parlen del rúter nou que us ha d’arribar per accedir al 5G (aquesta part és certa). De fet, ja disposen de dades teves, saben el teu nom complet i la teva adreça, el teu mòbil i fix… La conversa flueix i potser aquest dia no tens les defenses activades, i te’ls comences a creure perquè et penses que parles amb la teva pròpia proveïdora de servei M, perquè la trucada sembla prou creïble. Diuen el seu nom (segurament inventat) però no s’identifiquen d’entrada com a empresa, i tu tampoc hi caus. Han trucat al meu telèfon fix i no tinc activada la identificació de trucades.
Resulta que et demanen per la tarifa que pagues, que potser et podrien oferir una alternativa molt més barata. Et pregunten i tu contestes, sense reflexionar amb qui estàs parlant realment. L’accent és llatinoamericà, però ja s’ha convertit en habitual en moltes trucades. Et fan una oferta que sembla raonable. Et demanen el número de DNI, la data de naixement i el correu electrònic, entre altres dades. Passen força minuts. Acceptes i després transmeten la trucada a una mena de supervisor que et va repetint les dades. Es fa pesat. Dius que sí i que és correcte unes quantes vegades (deuen estar gravant la confirmació). Fins i tot respons una enquesta on valores positivament la tasca de la persona amb qui has parlat, tot molt irònic, ben pensat. I llavors, només al final de la conversa, et demanen si és correcte que vols canviar de proveïdor a V.
Ep, com? Jo no sabia que estava canviant d’empresa de M a V. Els dic que ara no hi estic d’acord i que vull anul·lar el que havia dit que contractaria. Cap problema. Diuen que m’esperi i que em comunicaran un codi d’anul·lació. Resto en silenci fins que me n’atipo i penjo.
Llavors, al cap de poca estona, rebo una segona trucada al mòbil, que a hores d’ara encara no sé si ja tenien o bé jo mateix els hi he facilitat. S’identifiquen com la meva companyia actual M, i em diuen que han rebut un avís, que com és que deixo de ser el seu client, si ja portava molts anys amb ells. La noia que em parla ara no té accent llatinoamericà. Li explico que al final de la trucada ho he anul·lat, però que m’havien de facilitar un codi d’anul·lació que no he rebut. La nova operadora em comunica que es pot anul·lar, però que li consta que m’he compromès amb una permanència de 12 mesos, que això, des de la pandèmia, es confirma només amb el número de DNI. Com? Que què diu? Quedo ben parat.
Em demanen més dades i fins i tot que confirmi uns números que m’arriben al mòbil (des del compte oficial de la companyia M). Els els dicto sense ni llegir el missatge que m’ha arribat. Sense jo saber-ho, amb aquesta imprudència, acaben d’entrar al meu compte real a M i ja tenen accés a les meves dades. M’expliquen ara que ells em poden recuperar com a client, però que perdré tots els números vinculats al contracte (els meus i els de la meva família), que es pot recuperar la portabilitat però no la permanència. El resultat és que hauré de canviar de números de telèfon. I també trigaran un mes a restablir el servei. Es pot estar vostè un mes sencer sense internet?
Sensibles a la meva frustració m’ofereixen apuntar-me a un pla rescat ideat per aquests casos, i expliquen que em tornaran a trucar d’aquí a un any, però que el més raonable seria acceptar el canvi de companyia a V per un període de 12 mesos. Amb la broma, fa gairebé 30 minuts que estic amb el telèfon a l’orella. Em sento fatal (i culpable d’haver acceptat una suposada oferta). Accepto el rescat com un babau.
No s’acaba aquí la comèdia, no us penseu. Ara em torna a trucar, al fix, una mena de supervisora de V. Li dic que em veig obligat a acceptar el contracte per nassos. Ella empatitza amb la meva situació i m’explica que n’és la responsable, que les coses no es fan així i que qui era el comercial amb qui he parlat, perquè el faran fora de la companyia V. Era un nom compost que no recordo. En cap moment esmenten el dret de desistiment que tenim davant de qualsevol nou contracte. Li dic que és igual i que endavant les atxes, que no em puc permetre perdre els números actuals i estar un mes sense servei. Llavors em demana confirmar dades noves (de fet ara les tenen totes perquè han accedit al meu perfil a M). Per completar el suposat nou contracte amb V em demanen també el compte bancari on han de carregar els rebuts. La supervisora m’envia un correu electrònic de confirmació on és imprescindible adjuntar la foto del meu DNI.
Com? Li pregunto que des de quan cal enviar el DNI per correu electrònic (per fi m’estic despertant). Em diu que és normal en molts contractes nous. Miro el correu electrònic amb atenció i descobreixo que l’adreça és un simple gmail, no pas un correu corporatiu. Això no és normal, de fet fa molta estona que no ho és gens, de normal. No penso enviar res. Llavors ella em diu que rebré un codi d’anul·lació. Li dic que vull continuar amb el nou contracte, però que m’ho faci arribat tot detallat i per escrit, i que no penso adjuntar el meu DNI ni pel davant ni pel darrere. Ella argumenta ara que la política de la companyia és una altra i que em faran arribar un codi d’anul·lació. M’espero una estona com un estaquirot i, al final, pengen.
De mica en mica començo a ser conscient del que m’ha passat i començo a lligar caps. Han accedit al meu compte de M i tenen la contrasenya, a més d’un munt de dades que m’han pescat. Com es pot reaccionar?
Entro immediatament al meu perfil de M i sol·licito una contrasenya nova. Trio una contrasenya segura. S’hauran deixat la sessió oberta? Examino les dades amb atenció i observo que, per sort, no han contractat res de nou, d’entrada no hi veig cap canvi. N’hi haurà prou amb haver canviat la contrasenya? Hauria d’anul·lar el compte bancari, però som dissabte a la tarda i tot està tancat, merda. Des de l’aplicació no puc fer-ho perquè em falta activar una clau de firma que no recordo, doble merda! És un compte actiu vinculat a una nòmina i a un munt de rebuts. El banc no torna a obrir fins dilluns, triple merda!
Resto angoixat i em costarà dormir tot el cap de setmana. No es pot ser més imbècil. M’han ensarronat com a un passerell i me’ls he cregut una bona estona. Ostres, no se suposava que hi entenc una mica, de tot aquest món digital? No vull ni pensar el que poden pescar i estafar a una persona analfabeta digital. La gent gran són víctimes segures.
Dilluns truco a la companyia M (la de veritat) i em confirmen que amb el canvi de contrasenya que vaig fer és suficient. Revisem el perfil. Els pescadors de dades no poden fer més tràmits a M, però han accedit al botí que buscaven. També faig una visita llampec a la meva sucursal bancària, creem un compte corrent nou, hi traspassem tots els rebuts i fem desaparèixer la numeració antiga. El DNI no es pot canviar. Per sort, no els vaig enviar cap foto del document. Només saben el número. Tanmateix, crec que no han accedit a res més que no es pugui trobar per altres fonts.
Tinc dubtes de si interposar o no una denúncia a la policia (Mossos d’Esquadra), veig que pot ser útil i necessari per prevenir nous casos. Si han gravat la conversa potser tenen prou informació per suplantar la meva identitat per participar, per exemple, en alguna web d’apostes en línia. Llegiu aquest article al respecte.
A la web de l’INCIBE (instituto nacional de ciberseguridad) podeu trobar informació sobre com denunciar. Aquesta és la pàgina de denúncies dels Mossos d’Esquadra. També són útils els consells de la web internet segura, de l’Agència Catalana de Ciberseguretat.
En fi, així segueix la situació. Si trobo o algú sap alguna manera de fotre tota aquesta púrria…
Economia verbal 