Estafes de pa sucat amb oli

Una estafa en directe que canvia el guió

Tocava parlar de Big Tech, però el guió salta —"és estiu, juguem"—: a l'Àlex li està passant una estafa mentre graven; l'últim missatge és de les 10.54; la gravació, de les 11. Cap a les 9 del matí, un número de la República Dominicana li escriu per WhatsApp un "adivina qui t'escriu des de l'estranger". Acabat de llevar, amb les defenses baixes, pensa en la Paula, una de les seves millors amigues: nòmada digital que viatja la meitat de l'any, escriu fatal per WhatsApp i la setmana anterior li havia dit que se n'anava als Estats Units. I comet l'error capital: dir el nom ell. A l'altra banda només han de respondre que sí.

L'estafa de les maletes retornades, pas a pas

La falsa Paula explica que no ha pogut entrar als Estats Units perquè no duia les proves de Covid actualitzades, que torna cap a Espanya i que el vol amb les maletes va justament cap on és ell: que les reculli, que li passa el codi i posa l'aerolínia en contacte. L'Àlex fa el longuis —s'inventa que potser aquell cap de setmana és fora— i ella dona el seu telèfon a la companyia: a l'instant se li obre un segon WhatsApp —"Aerolíneas American Airlines Latam, muy buenos días"— que el truca set o vuit vegades seguides mentre ell penja. Google ho confirma: és l'estafa de les maletes retornades; el pas següent hauria estat un pagament per alliberar-les.

Senyals d'alarma i cinc preguntes sense resposta

Les peces que grinyolaven: una nòmada digital que mai no canvia de número escrivint des d'un de dominicà; frases impecables barrejades amb frases desastroses i un "PCR COVID-19" repetit, guionet inclòs; la foto de perfil de photostock i la descripció "no puedo hablar solo WhatsApp". L'Àlex para una trampa —"fa temps que no ens veiem, passa'm una foto"— que la Paula real hauria corregit —havien parlat dijous passat—; la falsa s'excusa amb un "estic a la sala mèdica". El cop de gràcia: cinc preguntes de verificació —com ens coneixem, el nom del marit, quan i on vam parlar per últim cop, alguna cosa en el teu idioma natal— i la conversa mor en sec; al tancament, encara silenci: era una estafa. Marc hi posa el matís clau: ningú anava a per ell; l'estafa és genèrica, i la identitat de l'amiga l'hi va posar l'Àlex mateix.

Upside, downside i el risc que et pillin

A Marc li arriben cada cop més amics que piquen amb enllaços falsos del banc, i n'extreu el seu marc de decisió: tot estafador sospesa el millor escenari, el pitjor i el risc que l'enxampin. El telemàrqueting d'Orange o Naturgy és molest però legal; l'estafa hi suma el risc penal, i si persisteix és que surt a compte. L'Àlex hi afegeix l'analogia del pesat de la discoteca, que ho prova amb tres-centes perquè una li dirà que sí. Pura llei dels grans números, reprèn Marc: amb un 0,1 % d'encerts, milions d'intents surten rendibles; no van darrere de ningú —pensar "a mi no me la colaran" és el que els funciona—. N'hi ha prou que un tiet amb ING Direct rebi l'SMS fals i no vegi que a la URL la lletra i és en realitat un pal: 300 euros que potser ni nota paguen tota la campanya.

Trucades a perdudes i desconeguts en quarantena

Un dels dos rep aquests dies trucades suposadament d'Unicaja i SMS amb enllaços urgents; tots dos comparteixen defenses. Cap número de fora dels contactes fa sonar el telèfon: directe a perdudes, "és un setting que pots activar". Al correu, una regla "molt tonta" —d'Apple Mail, ni Gmail ni HEY— envia els remitents desconeguts a una bústia batejada "ja ho gestionarem després"; l'alternativa: SaneBox, un proxy per a qui no vulgui canviar de compte. Els falsos positius els donen per "completament assumibles", com quan el filtre de spam de Gmail va acabar amb el drama de Hotmail: 25 correus nous, 25 de spam. I la regla d'or: ningú no et truca per dir-te que has guanyat deu milions; si és important de debò, ja trobaran la manera d'arribar a tu.

La Llista Robinson i el salconduit dels antics clients

Marc s'hi va apuntar fa tres o quatre mesos per recomanació d'una amiga comuna i el truquen igual. L'Àlex, que també hi és, creu que les marques conegudes el truquen menys, però desgrana la lletra petita del servei gratuït que en teoria obliga el telemàrqueting a depurar llistes: si has estat client d'una empresa —CaixaBank o Orange— et poden seguir trucant, tret que en demanis la baixa emparant-te en la LOPD. Amb els SMS, el mateix: ell en rep que es fan passar per Caja Madrid, un banc del qual no és client i que ni sap si encara existeix. La norma per no picar: el banc t'envia un SMS quan tu has engegat una verificació, mai un enllaç perquè sí — "però això molta gent no ho sap".

Un ukelele a San Francisco i una targeta clonada

L'Àlex, però, no sempre se n'ha sortit. Després d'un any voltant per països amb fama de perillosos sense cap ensurt, la targeta l'hi van clonar "a puta San Francisco", en una botiga de música que ja li feia mala espina però on no duia efectiu —hi comprava un ukelele per a una amiga—. Dues setmanes després, càrrecs d'uns 1.500-2.000 euros d'una botiga de joies; la casualitat va estar a punt de tapar-los, perquè aquell mateix dia a MarsBased compraven Macs nous per a l'equip i durant una estona va donar per fet que eren això, fins que va recordar que cada soci paga amb la seva targeta: si compra el Jordi, paga el Jordi.

Vint-i-sis pagaments petits d'un Amazon Prime fantasma

Encara més perillosos són els càrrecs invisibles. Repassant les finances personals, l'Àlex va trobar pagaments recurrents d'Amazon Prime —que no té contractat— de quantitats petites i sempre diferents: dos euros, vuit, dotze, vint-i-tres. Sota el llindar d'alertes del banc, no saltava cap avís: en va comptar vint-i-sis. Va acabar en denúncia a la policia i diners retornats pel banc, però la reflexió esgarrifa: si haguessin estat Deliveroo, Spotify o Glovo, gairebé ningú no se n'hauria adonat. A la pregunta de Marc —cal una targeta clonada?— no hi ha resposta: l'única hipòtesi són les filtracions massives de dades (Apple, Facebook, Domino's Pizza). I la sensació que la llei va tan per darrere dels estafadors com l'antidopatge al Tour: denunciar és convertir-se en una dada més.

Doble factor per app i notificacions a cobert

Sense voler fer cap masterclass —"ni en som experts"—, deixen dos consells de manual. Primer: l'autenticació de doble factor, sempre que es pugui, en una app i no per SMS. Segon —cas real, vist de prop—: si la pantalla bloquejada mostra el contingut de les notificacions, qualsevol amb la teva contrasenya i el mòbil a la vista —carregant a la feina— llegeix el codi sense ni tocar-lo. El remei a l'iPhone: que el contingut no es mostri amb el telèfon bloquejat; un dels dos només té dues o tres notificacions actives, la d'SMS inclosa, sempre tapada. I, per sobre de tot, desconfiar per defecte i verificar sempre l'altra banda.

El cartellet de números d'emergència que fa bullir la sang

Les estafes també poden ser analògiques, i una mereix denúncia pública: el cartellet de "números d'interès de l'Ajuntament" dels portals de Barcelona. Pica a l'intèrfon algú dient "cartero" que no sap per a quin dels dos veïns de l'escala porta la carta; són nanos amb motxilla contractats per penjar un full que barreja números públics autèntics —el SEM, atenció ciutadana— amb mòbils privats de serrallers, pintors i manetes. La cirereta, el missatge de por del peu: recordeu de tancar bé la porta "perquè no entrin persones estranyes a la vostra comunitat". Al darrere, la màfia que rebenta panys perquè truquis al serraller del cartell a 300 euros l'hora en lloc del professional honest del barri. Doble suplantació —Correus i Ajuntament— i qui ho explica l'arrenca de cada portal on el troba.

Marc, el Telenotícies i la grua que passava per allà

Reptat per l'Àlex, que no es creu que mai no hagi estat víctima d'una estafa, Marc rescata la seva única. Als 18 anys, camí de la universitat a primera hora, un accident de moto prou aparatós per tallar la Ronda de Dalt i sortir al Telenotícies —"el highlight de la meva vida", ironitza—. Mentre el revisaven a l'ambulància, hi va passar "casualment" una grua: dos homes molt amables que es van endur la moto i després li van cobrar el rescat. La lliçó, de primera mà: la Guàrdia Urbana té —creu— el deure de retirar-la sense cost. La lògica és la del pesat de la discoteca: voltors girant tot el dia per les rondes, a la caça d'accidents i avaries. Digitals o analògiques, totes són estafes de pa sucat amb oli: barates de muntar i rendibles perquè sempre hi ha algú que acaba dient que sí.