Malware per certificat digital: atenció amb el frau que suplanta l'FNMT

El certificat digital de la Fàbrica Nacional de Moneda i Timbre (FNMT) és una eina molt útil que permet que el titular es pugui identificar oficialment per fer multitud de tràmits a Internet.

Els delinqüents en coneixen la popularitat i han posat en marxa un nou frau que pot acabar amb un malware instal·lat al dispositiu.

En què consisteix el frau del certificat digital de l'FNMT

Segons que ha alertat l'Institut Nacional de Ciberseguretat (INCIBE), diverses persones s'han vist afectades per aquest nou frau, que consisteix en la distribució de malware mitjançant la suplantació de l'FNMT. Per fer-ho, simulen l'enviament del certificat digital com un document adjunt.

Es tracta d'una campanya de phishing, és a dir, de robatori d'informació mitjançant la instal·lació d'un virus informàtic al dispositiu on es rep un correu electrònic.

El correu electrònic fraudulent, suposadament enviat des de l'FNMT, informa la víctima que pot baixar un arxiu adjunt que conté la seva identificació i el certificat del seu NIF. També el convida a utilitzar una alternativa per a la descàrrega, que consisteix a accedir a una pàgina web a través d'una URL que proporciona el correu electrònic.

El problema és que aquest arxiu, en realitat, conté un codi maliciós. Per descomptat, l'FNMT no ha enviat l'arxiu, sinó que ho han fet els ciberdelinqüents que pretenen aconseguir el control del dispositiu.

Si la víctima arriba a baixar-lo i executar-lo, el dispositiu s’infectarà i la informació que hi conté, restarà exposada. Es tracta d'un malware.

Com és el correu electrònic fraudulent

Per identificar el correu electrònic fraudulent de manera més fàcil, l'INCIBE ha publicat un exemple d'un correu electrònic rebut arran d'aquesta campanya de phishing. L'assumpte d'aquest correu electrònic és «Disponibilitat del certificat FNMT-RCM», tot i que no es descarta que també se'n puguin fer servir altres de diferents en diversos correus electrònics.

⚠#INCIBEaviso | Se ha detectado la distribución de #malware mediante suplantación de la Fábrica Nacional de Moneda y Timbre (FNMT) que utiliza la excusa del envío de tu certificado digital. https://t.co/UdoVk0bW3a#AvisosDeSeguridad #NextGenerationEU pic.twitter.com/QrZZOok5D9

— Oficina de Seguridad del Internauta (@osiseguridad) October 23, 2024

El remitent del correu simula ser la Fàbrica Nacional de Moneda i Timbre (fnmt.es). En realitat, no ho és pas: els delinqüents utilitzen una tècnica d'ofuscació coneguda com a email spoofing per aparentar que el correu electrònic s'ha enviat des del domini de l'FNMT.

En aquest cas, l'arxiu adjunt detectat s'anomena Certificat FNMT-RCM.iso. També en aquest cas, l'arxiu mostra un nom que no correspon, ja que en realitat es tracta d'un arxiu executable del tipus .exe, a punt per posar en marxa el malware.

Si l'arxiu s'arriba a executar, els delinqüents intentaran agafar el control del dispositiu infectat, robar informació personal de la víctima i utilitzar-la amb diverses finalitats delictives, com ara cometre un altra mena de fraus o extorsió.

Què fer si has estat víctima del frau del certificat digital de l'FNMT

Si has rebut un correu electrònic d'aquestes característiques, has de seguir els passos que proposa l'INCIBE per solucionar l'atac o minimitzar el dany causat:

Si has rebut el correu, però no has baixat l'arxiu

En aquest cas, l'única cosa que has de fer és marcar com a correu brossa el correu electrònic i eliminar-lo de la safata d'entrada. Per cap concepte has de baixar l'arxiu adjunt, ni de bon tros executar-lo.

Si has baixat l'arxiu, però no l'has executat

Si encara no has arribat a executar l'arxiu, però te l'has baixat al teu dispositiu, has d'anar a la carpeta de descàrregues (o a la carpeta que hagis triat per desar l'arxiu) i eliminar-lo. A continuació, també has d'esborrar-lo de la paperera de reciclatge.

Si has baixat i executat l'arxiu

Si has arribat a executar l'arxiu, el teu dispositiu pot estar infectat. En aquest cas, has de seguir tota una sèrie de recomanacions:

• Desconnecta l'equip que pugui estar infectat per evitar que el malware es propagui a altres dispositius de la xarxa domèstica.

• Utilitza un antivirus per fer una anàlisi exhaustiva del dispositiu i trobar el malware. Si continua infectat, convé que el formatis o que el restableixis de fàbrica per eliminar el virus per complet. Això sí, si fas això, tota la informació emmagatzemada al dispositiu també s'eliminarà. Per això, és aconsellable fer-ne còpies de seguretat de manera periòdica.

• Guarda totes les proves que puguis durant aquest procés: captures de pantalla, assumptes del correu electrònic i qualsevol altra informació que et sembli rellevant per denunciar els fets davant les forces i cossos de seguretat de l'Estat.