Este verano se ha detectado un aumento en el número de campañas de ingeniería social suplantando a la Dirección General de Tráfico (DGT), especialmente a través de smishing, pero también phishing dirigidos a la ciudadanía.
Los atacantes se apoyan en una supuesta sanción de tráfico y el uso de excusas como la urgencia o posibles aumentos en la cuantía para que los usuarios accedan a un enlace proporcionado en el texto. Al pulsar sobre dicha URL, el usuario es redireccionado a un sitio web que suplanta la página real de la DGT, donde se le extraerán sus datos personales y bancarios a través de diferentes formularios.
Detalle
Se han identificado varias campañas de smishing y phishing en las que se suplanta a la DGT. Esta táctica implica el envío masivo de mensajes de texto y correos electrónicos fraudulentos, en los que se informa a las víctimas de que tienen una multa pendiente y se les urge a realizar el pago en un breve plazo de tiempo (24h), o se les hace creer que el mensaje es un último recordatorio.
Al acceder al enlace incluido en estos mensajes, se pide al usuario que complete varios formularios, donde gradualmente se le van solicitando diferentes tipos de datos personales y, finalmente, datos de la tarjeta bancaria.
A continuación, se presentan algunas evidencias de dichos smishing y phishing donde se observan la urgencia que se le trastada a la víctima en el mensaje con el objetivo de que esta no se pare a pensar y a analizar la situación.
Smishing
Por regla general, los motivos que más suelen utilizar los ciberdelincuentes en este tipo de fraudes que utilizan mensajes de texto son apelando a la urgencia del usuario con excusas como el límite de 24 horas para pagar la multa, último recordatorio para pagar la multa y aviso final antes de un incremento de la multa.
Phishing
En el siguiente ejemplo puede observar el correo electrónico recibido, cuyo remitente, no tiene nada que ver con la DGT, y el asunto intenta crear alerta y nerviosismo en el usuario. Este correo contiene un enlace a una página web fraudulenta donde se le solicitarán diferentes tipos de datos personales y bancarios.
Al hacer clic en el enlace, el usuario es dirigido a una página que imita el diseño y el logo de la web oficial de la DGT. En esta pantalla, se le informa que tiene menos de 24 horas para pagar la multa, advirtiéndole que, de no hacerlo, se le aplicará un recargo del 50% y podría enfrentarse a posibles demandas legales.
Después de hacer clic en «Pagar la multa», se mostrará una nueva pantalla que incluye un supuesto número de la multa. En esta pantalla, se solicita al usuario que ingrese varios datos personales, todos ellos obligatorios para poder continuar con el proceso de pago.
Una vez que el usuario ha completado el formulario y ha pulsado en «Continuar», se le solicitarán diversos datos de su tarjeta de crédito, como el número de la tarjeta, la fecha de expiración y el código CVV. Estos datos son necesarios para, supuestamente, finalizar el pago de la multa.
Al continuar, aparecerá un mensaje que indica que se ha solicitado autenticación adicional para completar la transacción. Esto suele ser parte del intento de hacer que el proceso aparente ser más legítimo y seguro.
Tras unos segundos, se muestra una nueva pantalla en la que se solicita un código que supuestamente debería haber llegado por SMS al teléfono móvil proporcionado anteriormente. Sin embargo, este código nunca llegará al dispositivo del usuario.
En esta imagen se observa que, al introducir un código aleatorio, el sistema lo detecta como incorrecto, mostrando el mensaje «Invalid». Sin embargo, después de intentarlo nuevamente y pulsar en «Continuar», el proceso avanza, lo que podría dar una falsa sensación de seguridad al usuario, llevándolo a creer que el código era correcto.
Finalmente, se solicita al usuario que ingrese el código PIN de su tarjeta de crédito, completando así el intento de fraude. Este último paso es especialmente peligroso, ya que proporciona a los estafadores acceso completo a la cuenta bancaria del usuario.
Durante el proceso los ciberdelincuentes irán recabando todos los datos introducidos en los diferentes formularios y los podrán utilizar para cometer futuros fraudes o ciberdelitos.
Si has recibido un SMS o correo electrónico con las características mencionadas, pero no has pulsado en el enlace, te recomendamos bloquear al remitente y eliminar el mensaje de tu bandeja de entrada. En el caso de haber accedido al enlace y facilitado tus datos personales o bancarios, te recomendamos seguir las instrucciones que te proporcionamos a continuación:
- Realiza capturas de pantalla y guarda todas las pruebas posibles del mensaje y de los enlaces adjuntos. Para validar dichas evidencias, puedes utilizar testigos online.
- Ponte en contacto con tu entidad bancaria. De esta forma, te indicarán las medidas necesarias para proteger tu cuenta.
- En los próximos meses, te recomendamos que practiques egosurfing para verificar que tu información personal no se haya visto filtrada en la Red.
- Para reportar el fraude, comunícate con la Línea de Ayuda en Ciberseguridad de INCIBE, de esta manera, se podrá prevenir que otras personas sean víctimas. Por otro lado, puedes enviarnos las pruebas que hayas recolectado mediante nuestro buzón de reporte de fraude.
- Procede a interponer una denuncia ante las autoridades de las Fuerzas y Cuerpos de Seguridad del Estado, asegurándote de proporcionar todas las evidencias que hayas logrado recopilar del fraude.
- Si continúas dudando sobre la veracidad de una sanción de la DGT, este organismo notifica sus multas a través del correo postal (con un posterior envío al tablón edictal, en caso de que no hayan logrado localizarte en tu domicilio) y a través de notificación electrónica por medio de la DEV – Dirección Electrónica Vial.
