La Oficina de Seguridad del Internauta (OSI) avisa de una nueva campaña de phishing vía SMS que se hacen pasar por el Ministerio de Hacienda. Esta vez el cebo es que Hacienda debe devolver una cantidad de dinero por lo que se pide que introduzcamos los datos bancarios y de la tarjeta de crédito.
Detalles
Esta campaña de phishing se distribuye a través de dispositivos móviles vía mensajes de texto. Estos se hacen pasar por el Ministerio de Hacienda informando que tras un último cálculo de nuestra actividad fiscal, tenemos derecho a una devolución de nuestros impuestos por lo que incluyen un enlace a una web desde la que podemos realizar todos los trámites.
La web del enlace tiene el mismo aspecto que las oficiales del Ministerio de Hacienda, hasta la dirección se asemeja mucho. En ella se nos informa de la cantidad que nos ingresarán, además de darnos un código de reembolso y avisarnos que tardarán unos 5 o 6 días en realizar la transferencia.
Lo “único” que nos piden son nuestros datos personales y financieros, que incluyen el número de la tarjeta de crédito, su fecha de caducidad y el código de seguridad.
Si introducimos todos los datos, se nos redirige a una web oficial del Ministerio de Hacienda para dar mayor credibilidad a la estafa.
¿Qué hacer?
En caso de haber caído en esta estafa, deberemos ponernos en contacto lo antes posible con nuestra entidad bancaria y explicarles todo lo ocurrido. Además tendremos que anular la tarjeta de crédito y comprobar que no existan cargos fraudulentos.
Nuestra recomendación es denunciar la estafa para que las autoridades competentes investiguen y detengan a los responsables.
Prevención
La mejor manera de defendernos contra el phishing es la prevención. La OSI nos ofrece estos consejos para evitar ser víctimas de este tipo de estafas:
- No abras correos ni mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
- No contestes en ningún caso a dichos mensajes.
- Precaución al seguir enlaces y descargar ficheros adjuntos aunque sean de contactos conocidos.
- Si no hay certificado y la URL no empieza por HTTPS, no facilitemos nunca ni datos privados ni bancarios.
