La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) de España ha alertado esta semana de una nueva campaña de envío masivo de correos electrónicos que suplantan la identidad de la Agencia Tributaria.
El objetivo es redirigir a la víctima a través de un enlace facilitado en el mensaje del correo a una página web fraudulenta (phishing). Ya en la web, nos solicitan información personal y la de nuestra tarjeta de crédito mediante formularios a cambio de hacernos la devolución ofrecida en el correo.
El phishing se envía desde una cuenta no relacionada con la Agencia Tributaria, es decir, la cuenta del remitente no pertenece al organismo que se suplanta en el correo. Dicho correo se identifica con el asunto: ‘Coresponde un reembolso del impuesto en valor de 469,00’, aunque puede estar siendo distribuido con asuntos similares al mencionado.
También se observan algunas faltas de ortografía en la redacción del cuerpo del mensaje, lo que hace dudar de su veracidad. El cuerpo del mensaje informa al usuario de un reembolso de 469,00€ que le corresponde, y facilitan un enlace con el que podría acceder a un formulario necesario para reclamar dicha cantidad.
Si accedemos a la página que suplanta a la Agencia Tributaria veremos que nos solicita nuestros datos personales mediante un formulario.
A continuación, nos pide introducir los datos de la tarjeta de crédito y número de teléfono con el objetivo de recibir un código para introducirlo en el siguiente formulario y así verificarlo.
Posiblemente este código nunca lo recibiremos, pero los ciberdelincuentes ya estarán en posesión de nuestros datos.
Solución
Si has recibido un correo electrónico de estas características, has accedido al enlace y facilitado los datos de tu tarjeta de crédito, contacta lo antes posible con tu entidad bancaria para informarles de lo sucedido. Además, te recomendamos permanecer atento y monitorizar periódicamente la información que hay publicada sobre ti en Internet para evitar que tus datos privados estén siendo utilizados sin tu consentimiento.
Si, tras haber hecho egosurfing (es decir, una búsqueda de tu nombre y otros datos personales en el buscador), encuentras algo que se está ofreciendo indebidamente información sobre ti, puedes ejercer tus derechos de acceso, rectificación, oposición y supresión al tratamiento de tus datos personales. La Agencia Española de Protección de Datos te proporciona las pautas para que los puedas ejercer.