Se ha detectado una campaña de phishing y smishing mediante correos electrónicos y SMS que se hacen pasar por la Agencia Tributaria, con el fin de redireccionar a los usuarios a una web fraudulenta, aparentemente similar a la original, con el objetivo de obtener sus credenciales de acceso.
En caso de haber recibido un correo con las características descritas en el ‘Detalle’, la recomendación es eliminarlo y marcarlo como spam, sin hacer clic en el enlace proporcionado ni introducir ningún dato. Además, es necesario ponerlo en conocimiento del equipo de IT y del resto de empleados para evitar posibles víctimas.
Por otro lado, si se ha accedido al enlace malicioso y se han introducido las credenciales o datos bancarios:
- Cambiar las credenciales que han sido reveladas en este sitio web y en todos aquellos en que suelas utilizarlas. Si es posible, habilitar la autenticación en dos pasos con el fin de levantar una segunda capa de seguridad.
- Si se han revelado datos bancarios, contactar con tu entidad bancaria para que rechace posibles cobros asociados a la filtración.
- Recuerda que siempre puedes reportar este u otros incidentes similares para que desde INCIBE-CERT se puedan gestionar y evitar que el fraude se propague.
- También puedes informar a la Agencia Tributaria sobre este y otro tipo de fraudes a través de su página de ayuda.
- Si has recibido una notificación por parte de la AEAT y te surgen dudas, puedes visitar su web y ver ejemplos de fraudes que se han elaborado suplantándoles e incluso reportárselos si has recibido uno. También puedes ponerte en contacto con la Agencia Tributaria para contrastar la información de los SMS o correos recibidos y te ayudarán a solventar dicho problema a través de su chat.
Para prevenir este tipo de sucesos es recomendable visitar la sección de phishing. Conoce también, la siguiente historia real en la que un trabajador confió en una ventana emergente, la cual en realidad era un phishing que trataba de sustraer sus datos.
Se ha reportado la difusión de una nueva campaña que trata de suplantar a la Agencia Tributaria con el fin de obtener las credenciales y/o datos bancarios de quienes la reciban.
Este ataque trata de hacer creer a las víctimas que el correo procede de la AEAT y que deben introducir sus credenciales o datos bancarios. Esto lo logran replicando la página original de la AEAT, ya que aparentemente es similar a la web legítima.
Algunos elementos comunes que hacen sospechar de las distintas variaciones del ataque son:
- El empleo de un tono de urgencia o apremio con el fin de que la víctima realice las acciones solicitadas.
- Emplean dominios que son similares al original de la AEAT, pero varían en una letra, añaden un número o, directamente, son completamente distintos.
- La redacción de los correos contiene faltas de ortografía, tales como ausencia de signos de puntuación. Una entidad legítima como la AEAT no descuidaría estos detalles.
Podemos observar cómo el remitente, aunque se llama “Agencia Tributaria”, posee un dominio asociado llamado ‘’ionos@…’’. Este elemento hace sospechar de la legitimidad del correo.
En esta otra variante podemos ver cómo el enlace al que hacen referencia es legítimo; sin embargo, este, probablemente, tendrá un hipervínculo asociado que redirigirá a otra dirección ilegítima que replica a la original, como las que se muestran más abajo.
En esta variante podemos ver cómo incluso han incrustado una imagen con un logo de la AEAT. Si se pulsa en el enlace, este redirigirá a un formulario de inicio de sesión que sustraerá los datos.
Los enlaces de los emails señalados anteriormente redirigirán a una web similar a esta, la cual aparenta ser legítima. Pese a ello, se puede identificar que la dirección del sitio no tiene relación con la AEAT.
En este caso, se puede apreciar cómo el correo ha redirigido a una web que aparenta ser de la Agencia Tributaria y solicita datos bancarios. En la barra de dirección se puede apreciar que no han modificado el logo del gestor de contenido, en este caso, WordPress, lo que revela que la web no es legítima.
También se ha reportado esta variante que se centra en obtener la dirección de correo electrónico y contraseña de la víctima.
Otro vector de ataque
También se ha detectado una campaña de smishing con características similares. En este caso, el intento de suplantación de identidad se realiza vía mensajes de texto (SMS).
Si se pulsa en el enlace, este redirigirá a un formulario de inicio de sesión malicioso que simula ser la web de la Agencia Tributaria.
Al introducir los datos, estaremos facilitando las credenciales a los ciberdelincuentes.
