Se ha detectado una campaña de phishing suplantando a la Agencia Estatal de Administración Tributaria (AEAT). Existen varias versiones del correo que utilizan los ciberdelincuentes como pretexto para intentar esta estafa, como puede ser, el reembolso de impuestos, una notificación, etc.
Por lo general estos mensajes suelen estar acompañados de un enlace que dirige a un sitio web fraudulento, donde se solicitan los diferentes datos personales y/o bancarios a la víctima. También hay sospechas de fraudes similares vía mensajes de texto, SMS.
Detalle
Se ha detectado recientemente varias campañas de phishing que intentan suplantar a la AEAT. Esta técnica de ingeniería social consiste en el envío masivo de correos electrónicos a multitud de usuarios con la intención de hacerse pasar por una entidad legítima y hacerles creer que dicha entidad les ofrece alguna cosa o tienen algo pendiente con ella como, una reclamación, el cobro de un reembolso de impuestos o una notificación pendiente revisar.
Estos correos que reciben las víctimas contienen un enlace que, si el usuario pulsa sobre él, accederá a un sitio web fraudulento con la apariencia del sitio oficial de la AEAT, es decir, con el logo, colores y diseño que simulen el del sitio legítimo. La página dispone de un formulario en el que, conforme se vaya completando, se irán solicitando diferentes datos personales y, finalmente, bancarios.
No se descarta que los estafadores puedan estar utilizando también otros medios como puede ser el smishing, que consiste en mandar estas mismas notificaciones que hemos mencionado anteriormente, pero en este caso, a través de mensajes de texto (SMS).
Para detectar este tipo de estafas, puedes fijarte en la dirección del remitente, donde verás que no es una oficial; a veces también se observan faltas de ortografía, otra evidencia puede ser la página web del enlace, antes de pulsar sobre ella, pasa por encima para ver a dónde lleva y comprobar si es un sitio oficial. Algunos de los asuntos que se han detectado en los correos electrónicos son los siguientes, junto con algunas imágenes de dichos mails:
- ‘Notificacion disponible – Identificador XXXXXX’
- ‘AVISO IMPORTANTE’
- ‘Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXX’
A continuación, se muestran algunas imágenes de ejemplo tras acceder a la página fraudulenta, desde un dispositivo móvil, que contienen este tipo de correos electrónicos. Se accede a un sitio web con la apariencia de un sitio legítimo de la AEAT donde se solicita el correo electrónico de la víctima, una vez introducido se pulsa sobre ‘Entrar’.
Seguidamente se solicita la contraseña de dicho correo electrónico, y una vez más se pulsa en ‘Entrar’ para seguir con el proceso.
A continuación, se puede observar un mensaje en rojo en pantalla informando de que ‘La validación no es correcta. Vuelve a introducir los dirección de correo y contraseña de correo electrónico’.
A partir de este momento, los estafadores ya han podido obtener lo que buscaban, que en este caso son las credenciales de tu correo electrónico. Para evitar caer en este tipo de engaños, observa las señales que te pueden hacer sospechar de este proceso, como hemos mencionado anteriormente, faltas de ortografía, remitente sospechoso y, sobre todo, usa el sentido común y piensa antes de actuar.
Solución
Si has recibido un correo electrónico o, en su defecto, un mensaje de texto (SMS) con las características descritas anteriormente pero no has accedido al enlace, te recomendamos que lo reportes enseguida a nuestro buzón de incidentes.
Esto nos permitirá recopilar la información que necesitamos para prevenir que otros usuarios caigan en este tipo de fraude. Además, bloquea al remitente y elimina el mensaje de tu bandeja de entrada, ya sea desde tu gestor de correo electrónico o desde tu dispositivo móvil.
En el caso de haber accedido al enlace y haber facilitado información personal y/o bancaria, te recomendamos encarecidamente que realices las siguientes recomendaciones:
- Ponte en contacto con la Línea de Ayuda en Ciberseguridad para ser asesorado de forma especializada y notificarnos el incidente. Así podremos ayudarte, a la vez que ayudamos a nuevas víctimas que puedan verse también afectadas por este phishing.
- Cambia las contraseñas de acceso a todas tus cuentas online, en especial, de las cuentas bancarias.
- Reúne y guarda todas las evidencias disponibles sobre el fraude, como capturas de pantalla o enlaces maliciosos. Puedes utilizar servicios de testigos online para validar la recopilación de pruebas, especialmente en este caso de smishing o phishing.
- Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, aportando todas las pruebas recopiladas durante el proceso.
- Practica egosurfing de manera periódica hasta pasados unos meses para detectar si tu información personal ha sido expuesta o utilizada de forma indebida. Recuerda que esta información filtrada ahora puede utilizarse para otros fraudes, así que debes mantenerte alerta.
