Asierrek bere bankuaren e-posta jaso du. Azken asteetan jaso duen hirugarrena da jada. Aurreko bietan, bankuko hainbat eskaintzen berri eman diote eta eskaintzak zehaztasun handiagoz ikusteko bankuko web orrialdera bidali dute. Asierrek begiratu bat eman die eskaintzei. Oraingoan, ordea, mezu larriagoa bidali dio bankuak: «Bankuko web orrialdean sartu berri dira eta zure datuak aldatu dituztela uste dugu. Egiaztatu ditzagun, mesedez, ondorengo helbide honetan klikatu eta norbait sartu ote den baieztatu». Asierrek klik egin du emandako helbidean eta itxuraz honek bere bankuaren web orrialdera eraman du, helbidea ere bera baita. Web orrialdean, bere kode ezkutua eta gainerako datuak sartu ditu, kontu guztiak behar bezala dituen jakiteko. Erantzuna Interneten ari garela behin baino gehiagotan jaso ohi duguna izan da: «Ezin izan da zure eskaera gauzatu. Zerbitzua ez dago erabilgarri. Beranduago saiatu. Barkatu eragozpenak».

Azken mezu horren benetako esanahia, ordea, bestelakoa da, beldurgarriagoa: iruzurgileak baditu nahi zituen datu guztiak eta horietaz baliatuz dirua eskuratu ahal izango du Asierren bankuan. Izan ere, klikatutako helbidea tankeran bankuarenarena izan arren, ez da hala; eta web orrialdeak bankuarena badirudi ere, faltsua da. Halako kasuen aurrean, oinarrizko araua argia da: ez eman inoiz datu pertsonalik web orrialde batean, bertara zuk zeuk idatzitako helbide elektronikoaren bidez iritsi ez bazara -hots, «hemen klikatu» horiek arriskutsuak izan daitezke-. Bankuaren promozio handiren bat, egiaztapen arrunt bat edo arazo teknikoak iragartzen dituzten mezuak ere internauta engainatzeko aitzakia izan daitezke. Halaber, iruzurgileak bere harrapakinaren profila egin ohi du: hasieran, esaterako, mezua 100.000 erabiltzaileri bidaliko die, gomendio edo eskaintza faltsuren bat eginez eta kasu egiten dietenekin jarraituko du lanean. Azkenerako, agian berrogeiren konfiantza baino ez du bereganatuko eta datu pertsonalak eskatzen dituen e-posta horiei baino ez die bidaliko. Amua irensten badute, lan arrakastatsua izango da iruzurgilearentzat.

Phishingak ez du mugarik. Amurik ohikoenak bankuak badira ere, hondamendi handietarako dirua biltzen duten gobernuz kanpoko erakundeak, merkataritza elektronikoari buruzko orrialdeak, Administrazioa, bidaia agentziak, Ebay famatua bezalako enkante enpresak eta oro har, Internet bidez transakzioak egiten dituen edozein erakunde jomuga izan daiteke egun. Halaber, eragin eremuak zabaltzearekin batera, iruzur motak ere ugaritu egin dira. Adibidez, malware izeneko software ‘gaiztoa’ ordenagailuetan sartzen da eta birus troianoak eta programa espioiak erabiliz, kodeak zuzenean lapurtzen ditu, erabiltzailea jabetu gabe. Phishing telefonikoaren kasuan, Interneteko erabiltzaileari e-posta bidaltzen zaio, edozein aitzakia baliatuta bankuarekin harremanetan jartzeko eskatuz eta horretarako telefono zenbaki bat ematen zaio. Zenbaki hori markatzerakoan agertzen den erantzungailu faltsuak kontu korrontearen inguruko datuak eskatuko dizkio. Bankuren baten izenean adineko jendeari telefonoz deitzen dieten iruzurgileak ere badaude. Edozer gauza saltzen duten ezezagunen deiak jasotzera ohituta gauden garaiotan, elkarrizketa luzeen ondoren eskaintza berezien akuiluarekin biktimak bere datu pertsonalak ematea lortzen dute hainbatetan. Phishing Car delakoak ere gero eta presentzia handiagoa du sarean. Autoak saltzen dituzten enpresa ezagunen izenean, e-posta bidez edo Interneten iragarki deigarriak jarriz, auto merkeak erosteko aukera eskaintzen dute. Enpresaren web gune faltsuan, erosleak autoa aukeratu eta seinale bezala diru kopuru bat ordaintzen du, baina noski, kaltetuak ez du ez dirurik ez autorik jasoko.

Pharming iruzurra, berriz, phisingaren antzekoa da. 2005eko apirilean agertu zen lehen aldiz eta internauta orrialde faltsuetara berbideratzea du helburu. Hau da, kutsatuta dagoen edo faltsua den DNS zerbitzari bat -segurtasun neurriak dituzten zerbitzariak- erabiliz gero, nahiz eta helbide zuzena idatzi, iruzurgileak gezurrezko web orrialde batera eraman dezake internauta. Edo nabigatzen ari garela banku edo erakunderen baten publizitate edo banner faltsu batean klikatuz gero, dirua xahutzeko prest dauden trukatutako orrialdeetara eraman gaitzakete. Arriskua, beraz, gero eta hedatuago dago sarean eta gero eta zailagoa da antzematen, benetako web orrialdeen kopia zehatzak egiten baitituzte.

Horregatik, bereziki adi egotea garrantzitsua da, tranpan ez erortzeko ardura handiena norberak baitu. Kontsumo agentzien, Ertzaintzaren nahiz Guardia Zibilaren -delitu informatikoez arduratzen den taldea du duela urte batzuetatik- bulegoetan salaketa aurkez dezakegu edo Anti-Phishing Working Group (www.apwg.com) web gunean aholkua bila dezakegu, baina dirua berreskuratzea zaila izango da. Joseba Barandiaran ekonomialariak bankuan egiten du lan eta bere esanetan, bankuko kontuak eta halakoak Interneten begiratzen dituen bezeroaren profila ez da phishing iruzurretan eroriko litzatekeenarena, errazagoa iruditzen zaio ziria kutxazainetan sartzea, bertako bezeroa era guztietakoa izan daitekeelako. Hala ere, datuen arabera, ez dira gutxi Interneten amua irensten duten erabiltzaileak. Hala, bankuek neurriak hartu dituzte jada eta Hego Euskal Herriko banku askok, esaterako, iazko urte amaieran sortu zen Phishingaren Aurkako Lan Talde Nazionalean hartzen du parte. Bertan, banku eta aurrezki kutxetako segurtasun informatikoko adituek sareko iruzurraren kontrako konponbideak erabakitzen dituzte. Gainera, jarduera guztia Internetera mugatua duten bankuek neurri zorrotzagoak hartu dituzte. Horietan, diru kopuru jakin bat gainditzen duen transferentzia bat agintzen duzun unean, bankuak SMS bat bidaliko dizu eta ados ez bazaude, erantzun bezain pronto transferentzia bertan behera geldituko da.

Nolanahi ere, iruzurrak saretik ezabatzeko eginbeharra duten adituei asko zaildu zaie lana. Zerbitzari kaltetua bere domeinua saltzeaz bizi den herrialde galdu batekoa izan daiteke. «Nola esan diezaiokezu Polinesian edo auskalo non dagoen irla bati bere domeinupean dagoen web orrialdea ixteko?», dio Ray Fernandez Internet&Euskadi elkarteko lehendakariak. Web orrialde faltsuak DNS zerbitzarietatik ezabatzea da helburua, baina iruzurgileek hori ikasi dutenez, orain IP (Internet Protocol) helbideak erabiltzen dituzte eta horiek ezin dira bitartekari lana egiten duten zerbitzarietatik ezabatu. Hots, zuzenean helbidea dagoen jatorrizko ordenagailura jo behar da, agian ordenagailu horrek 1.000 bezero edo orrialde izango ditu eta iruzurgile bakarra. Hori gutxi balitz, 2005ean zehar erasoen konplexutasuna handitu egin da: helbide desberdinetatik egindako eraso bateratuak izan daitezke, erasoa ezabatzeko denak blokeatzea beharrezkoa izanik; abiadura azkarrean aldatuz doazen helbideak ere izan daitezke, bat itxi dugunerako berria sortu delarik; erasoen aurrean blindatzen diren helbideei aurre egiten ikasi duten erasoak ere sortu dira edota helbide faltsua antzemanda ere, indartuta biktima berarengana berriz zuzentzen diren erasoak aurkitu dituzte.

Phishing erasoek iaztik behera egingo zutela uste bazen ere, joera kontrakoa izan da eta iruzurrak hazten doaz, kopuruan eta konplexutasunean. Mundu osoko 70 erakunderen aurkako phishing erasoak kontrolatzeko lan egiten duen AFCC Iruzurraren Aurkako Aginte Gunearen arabera, orain iruzur gehiago egiten dira Europan AEBetan baino eta Espainia (300 kasu 2005ean) eta Italia dira kaltetuenetakoak. Esate baterako, Donostian eta Iruñean egoitza duen S21sec segurtasun digitaleko enpresak iaz denera mundu osoko 609 kasu aztertu zituen. Eraso bolada batean gehienez 90.000 euro irabazten dira eta ziria antolatzea hain merke izanik, beti da errentagarri. Halaber, datuek diote eraso gehienak asteburuan egiten dituztela, internauta etxekoia engainatzeko ahaleginetan. Adi ibili, beraz!