Publicat el 05 de juny del 2026 · per Qubit Technologies
Per què el phishing té faltes d'ortografia a propòsit
Les faltes d'ortografia del phishing massiu no són un descuit, són un filtre deliberat per trobar les víctimes més fàcils. El phishing dirigit contra la vostra empresa, en canvi, no en té ni una.
Tothom ha rebut un correu de phishing ple de faltes. El “benvolgut client”, l’accent que falta, la frase que cap humà escriuria. La conclusió natural és que qui hi ha al darrere és un nyap. Gairebé sempre és la conclusió equivocada.
En la majoria d’aquests correus, les faltes no són un descuit, són una eina. En els que de debò van contra la vostra empresa, en canvi, no n’hi ha cap.
Les faltes com a filtre
El phishing massiu s’envia a milions d’adreces a cegues. Qui l’envia no busca enganyar tothom, busca les poques persones que arribaran fins al final, donaran les seves dades o faran la transferència. Aquí hi ha el truc.
Respondre a algú que a mitja estafa sospita i fa marxa enrere costa temps. Un correu maldestre, ple de faltes i de senyals d’alarma, espanta justament aquestes persones. Només continua endavant qui no es fixa en res d’això, que és exactament la víctima que l’estafador vol. Com pitjor escrit està l’esquer, millor selecciona qui picarà de debò.
El correu que va a per vosaltres
El phishing dirigit juga a una altra cosa. No s’envia a milions, s’envia a una persona concreta de la vostra empresa, triada pel seu càrrec o pel seu accés. Qui l’escriu ha fet els deures abans.
Sap el nom del vostre director financer, coneix el vostre proveïdor habitual i sap que aquesta setmana esteu tancant una operació, perquè bona part d’això és públic. Amb aquestes dades construeix un correu que no desentona, amb el remitent que espereu, el to de sempre i l’assumpte que encaixa amb el que teniu entre mans. Sense ni una sola falta, perquè una falta el delataria.
Caure no és ser ximple
Aquí hi ha l’error de fons del consell de sempre. “Mireu si hi ha faltes, desconfieu dels enllaços estranys” funciona amb el phishing massiu, no amb el dirigit. Contra un correu ben fet, buscar errades no serveix de res.
Caure tampoc té a veure amb ser llest o ximple, té a veure amb el context. Si el correu arriba en el moment en què esperàveu una cosa així, del remitent de qui ho esperàveu, amb una excusa que encaixa, qualsevol fa clic. Els atacants no exploten la ignorància, exploten la pressa, la confiança i la rutina.
Què funciona de debò
Els filtres tècnics aturen molt, però no ho aturen tot. N’hi ha prou que en passi un. Així que l’última línia de defensa sempre és una persona davant de la pantalla. A aquesta persona no la protegeix un cartell que diu “compte amb el phishing”, la protegeix haver-ne vist abans un de debò.
Per això els simulacres de phishing funcionen millor que les xerrades. Quan algú pica en un correu de mentida, controlat i sense conseqüències, aprèn en trenta segons el que cap presentació li ensenyarà. La formació que serveix no s’explica, es practica.
El correu que no veureu venir
El phishing amb faltes continuarà omplint la vostra safata de spam. És el menys perillós, perquè es delata sol. El que us heu de prendre seriosament és el que no sembla phishing, el que està escrit a la vostra mida amb la informació que deixeu a la vista.
D’on surt aquesta informació ja ho vam explicar a el que un atacant esbrina de la vostra empresa abans d’atacar. El phishing dirigit és el pas següent, el moment en què tot aquell reconeixement es converteix en un correu que algú del vostre equip obre sense pensar.
Si voleu posar a prova el vostre equip amb una simulació de phishing controlada, escriviu-nos a [email protected].