Smishing suplantando a la Agencia Tributaria
Se han detectado una varias campañas de smishing que suplantan a la Agencia Tributaria. A través de un SMS se le solicita al usuario facilitar la información de la tarjeta bancaria para recibir el reembolso de un impuesto o una devolución de la renta de 2022…
Recursos afectados
Todos aquellos usuarios que hayan recibido el SMS malicioso y hayan facilitado sus datos personales y los de su tarjeta bancaria.
Solución
Si has recibido un SMS con las características mencionadas anteriormente, pero no has pulsado el enlace, bloquéalo, márcalo como spam y elimínalo de tu bandeja de mensajes.
Por el contrario, si has accedido a la dirección y has facilitado los datos solicitados en el formulario, te sugerimos que realices las siguientes recomendaciones:
- Notifica a tu banco para informarle del suceso y bloquea todos los movimientos que se hayan realizado sin tu autorización.
- Durante las próximas semanas o meses te recomendamos que revises los movimientos que realices con tu cuenta bancaria y, en el caso de que detectes alguno que no sea conocido o sin tu autorización, ponte inmediatamente en contacto con tu entidad bancaria para denegarlo.
- Cambia los códigos de seguridad y el PIN de tu tarjeta de crédito lo antes posible.
- Reúne las evidencias del fraude: URL de la página fraudulenta en la cual dejaste tus datos, extractos bancarios y toda aquella información que se pueda proporcionar para poder realizar una denuncia ante las FCSE.
- Recopila las evidencias con testigos online y preséntalas ante las Fuerzas y Cuerpos de Seguridad del Estado. Después tendrás que solicitar una copia de la denuncia y entregarla a tu banco.
- Si la denuncia no te ayudara a recuperar el dinero que te hayan robado, puedes presentar una reclamación a través del Banco de España.
- Te recomendamos que también pongas en práctica el egosurfing para asegurarte de que no se haya compartido la información privada que otorgaste a la página maliciosa. Puedes utilizar herramientas para realizar búsquedas avanzadas como Google Dorks. En el caso de haber encontrado tus datos, solicita tu derecho al olvido a través de la Agencia Española de Protección de Datos.
- Si has recibido una notificación de la Agencia Tributaria y aun así te surgen dudas puedes visitar su web y ver ejemplos de fraudes que les han realizado suplantándoles e incluso reportárselos si has recibido uno.
- demás, puedes ponerte en contacto con ellos para contrastar la información de los correos o SMS que hayas recibidos y te ayudarán a solventar dicho problema a través de su chat.
Puedes consultar el aviso de seguridad ante el inicio de la campaña de la renta 2022, donde explican cómo se realizan sus notificaciones.
Detalles
Se han descubierto varias campañas que utilizan la técnica de ingeniería social conocida como smishing, en la cual se suplanta a la Agencia Tributaria mediante el envío de un SMS. El mensaje indica a la víctima que se le ha calificado para un reembolso o que se le va a realizar una devolución del ejercicio anterior y que para procesarlo correctamente debe pulsar en el enlace proporcionado.
El objetivo de este fraude es robar los datos personales y de la tarjeta bancaria de la víctima por medio de una página web fraudulenta que contiene un formulario.
Caso 1:
Los SMS que se han podido identificar hasta ahora contienen errores ortográficos y gramaticales en su redacción, lo que hace sospechar de su veracidad.
AGENCIA TRIBUTARIA: Os ha calificado para un reembolso de impuesto de (450,00€). Verifica los datos en la página web: [URL fraudulenta]
AGENCIA TRIBUTARIA: Os ha calificado para un reembolso de la Renta 2022 de importe 411,00. Encuentra mas informacion en la pagina: [URL fraudulenta]
[Actualización 14/04/2023]
Caso 2:
Los SMS identificados no contienen faltas ortográficas ni de redacción, por lo que hacen más complicada su identificación. URGENTE, AGENCIA TRIBUTARIA: el resultado de su ejercicio anterior ha resultado favorable para usted. Pulse aquí para recibir la devolución de 178,44€ más el bono oficial de 200€ inmediatamente antes del día 14/04/2023. [URL fraudulenta] Gracias.
Al analizar la URL que contiene el mensaje, ya se puede observar de ante mano que esta no pertenece al dominio oficial de la Agencia tributaria, pero si se pulsa en el enlace, este redirigirá a una web maliciosa, la cual solicitará a través de un formulario: nombre completo o nombre y apellidos, número de tarjeta o cuenta bancaria, fecha de caducidad, código de seguridad, PIN de seguridad, DNI o teléfono.
Si se pincha en el enlace, este redirigirá a una web maliciosa, la cual solicitará a través de un formulario la siguiente información: nombre completo, número de tarjeta, fecha de caducidad, código de seguridad y PIN de seguridad.
Una vez completado y pulsado el botón ‘Continuar’, la página web redirigirá a otra en la que nos solicitará un código SMS, que supuestamente hemos recibido en nuestro dispositivo móvil, para así completar el reembolso.
Una vez introducido cualquier código de 6 dígitos, la página mostrará otra pantalla de carga y nos redirigirá a la página legítima de la Agencia Tributaria, pero los ciberdelincuentes ya estarán en posesión de los datos de nuestra tarjeta bancaria.
Esta técnica es empleada por los ciberdelincuentes para no levantar sospechas y que la víctima piense que ha realizado un procedimiento seguro, cuando realmente ha sido víctima de un fraude.
[Actualización 14/04/2023]
Caso 2:
Como hemos podido comprobar darse cuenta de este tipo de robo de credenciales es bastante dificil incluso si somos personas suspicaces, por lo que desde Ciberseguridadsur ofrecemos a nuestros clientes modulos de seguridad para sus dispositvos que evitan el acceso a URLs maliciosas como esta, bloqueandola directamente aunque pinchemos en el enlace.
Tales modulos son ESET Mobile y ESET INTERNET SECURITY o ESET SMART SECURITY PREMIUM.
No dudes en contactar con nosotros para evitar este tipo de fraudes y si lo deseas recibir tambien formación respecto a este tipo de fraude u otros tipos como el Phising.
fuente: https://www.osi.es/es/actualidad/avisos/2023/04/smishing-suplantando-la-agencia-tributaria-que-utiliza-como-excusa-el