672 433 544 / 680 811 219 info@ciberseguridadsur.com

Smishing suplantando a la Agencia Tributaria que utiliza como excusa el reembolso de un pago para robar los datos de tu tarjeta bancaria

Se han detectado una varias campañas de smishing que suplantan a la Agencia Tributaria. A través de un SMS se le solicita al usuario facilitar la información de la tarjeta bancaria para recibir el reembolso de un impuesto o una devolución de la renta de 2022 junto con el bono social de 200€. La finalidad de esta estafa es robar los datos personales y bancarios de las víctimas.

 

Recursos afectados

Todos aquellos usuarios que hayan recibido el SMS malicioso y hayan facilitado sus datos personales y los de su tarjeta bancaria.

 

Solución

Si has recibido un SMS con las características mencionadas anteriormente, pero no has pulsado el enlace, bloquéalo, márcalo como spam y elimínalo de tu bandeja de mensajes.

Por el contrario, si has accedido a la dirección y has facilitado los datos solicitados en el formulario, te sugerimos que realices las siguientes recomendaciones:

  • Notifica a tu banco para informarle del suceso y bloquea todos los movimientos que se hayan realizado sin tu autorización.
  • Durante las próximas semanas o meses te recomendamos que revises los movimientos que realices con tu cuenta bancaria y, en el caso de que detectes alguno que no sea conocido o sin tu autorización, ponte inmediatamente en contacto con tu entidad bancaria para denegarlo.
  • Cambia los códigos de seguridad y el PIN de tu tarjeta de crédito lo antes posible.
  • Reúne las evidencias del fraude: URL de la página fraudulenta en la cual dejaste tus datos, extractos bancarios y toda aquella información que se pueda proporcionar para poder realizar una denuncia ante las FCSE.
  • Recopila las evidencias con testigos online y preséntalas ante las Fuerzas y Cuerpos de Seguridad del Estado. Después tendrás que solicitar una copia de la denuncia y entregarla a tu banco.
  • Si la denuncia no te ayudara a recuperar el dinero que te hayan robado, puedes presentar una reclamación a través del Banco de España.
  • Te recomendamos que también pongas en práctica el egosurfing para asegurarte de que no se haya compartido la información privada que otorgaste a la página maliciosa. Puedes utilizar herramientas para realizar búsquedas avanzadas como Google Dorks. En el caso de haber encontrado tus datos, solicita tu derecho al olvido a través de la Agencia Española de Protección de Datos.
  • Si has recibido una notificación de la Agencia Tributaria y aun así te surgen dudas puedes visitar su web y ver ejemplos de fraudes que les han realizado suplantándoles e incluso reportárselos si has recibido uno.
  • demás, puedes ponerte en contacto con ellos para contrastar la información de los correos o SMS que hayas recibidos y te ayudarán a solventar dicho problema a través de su chat.

Puedes consultar el aviso de seguridad ante el inicio de la campaña de la renta 2022, donde explican cómo se realizan sus notificaciones.

Detalles

Se han descubierto varias campañas que utilizan la técnica de ingeniería social conocida como smishing, en la cual se suplanta a la Agencia Tributaria mediante el envío de un SMS. El mensaje indica a la víctima que se le ha calificado para un reembolso o que se le va a realizar una devolución del ejercicio anterior y que para procesarlo correctamente debe pulsar en el enlace proporcionado.

El objetivo de este fraude es robar los datos personales y de la tarjeta bancaria de la víctima por medio de una página web fraudulenta que contiene un formulario.

Caso 1:

Los SMS que se han podido identificar hasta ahora contienen errores ortográficos y gramaticales en su redacción, lo que hace sospechar de su veracidad.

Se muestra un SMS de supuestamente de la agencia tributaria indicándole al receptor de un reembolso y que verifique los datos en el siguiente enlace adjunto

AGENCIA TRIBUTARIA: Os ha calificado para un reembolso de impuesto de (450,00€). Verifica los datos en la página web: [URL fraudulenta]

Se muestra un SMS de supuestamente de la agencia tributaria indicándole al receptor de un reembolso de la renta 2022 y que verifique los datos en el siguiente enlace adjunto

AGENCIA TRIBUTARIA: Os ha calificado para un reembolso de la Renta 2022 de importe 411,00. Encuentra mas informacion en la pagina: [URL fraudulenta]

 

 

Si se pincha en el enlace, este redirigirá a una web maliciosa, la cual solicitará a través de un formulario la siguiente información: nombre completo, número de tarjeta, fecha de caducidad, código de seguridad y PIN de seguridad.

Se muestra una página web simulando ser la de la página de la agencia tributaria en la cual se solicita información de carácter financiara a través de un formulario

Una vez completado y pulsado el botón ‘Continuar’, la página web redirigirá a otra en la que nos solicitará un código SMS, que supuestamente hemos recibido en nuestro dispositivo móvil, para así completar el reembolso.

Se muestra una página web simulando ser la de la página de la agencia tributaria en la cual se solicita en una caja de texto un código SMS

 

Una vez introducido cualquier código de 6 dígitos, la página mostrará otra pantalla de carga y nos redirigirá a la página legítima de la Agencia Tributaria, pero los ciberdelincuentes ya estarán en posesión de los datos de nuestra tarjeta bancaria.

Se muestra una ventana principal de la página legítima de la Agencia Tributaria

 

Esta técnica es empleada por los ciberdelincuentes para no levantar sospechas y que la víctima piense que ha realizado un procedimiento seguro, cuando realmente ha sido víctima de un fraude.

 

Como hemos podido comprobar darse cuenta de este tipo de robo de credenciales es bastante dificil incluso si somos personas suspicaces, por lo que desde Ciberseguridadsur ofrecemos a nuestros clientes modulos de seguridad para sus dispositvos que evitan el acceso a URLs maliciosas como esta, bloqueandola directamente aunque pinchemos en el enlace.

Tales modulos son ESET Mobile y ESET INTERNET SECURITY o ESET SMART SECURITY PREMIUM. 

No dudes en contactar con nosotros para evitar este tipo de fraudes y si lo deseas recibir tambien formación respecto a este tipo de fraude u otros tipos como el Phising. 

fuente: https://www.osi.es/es/actualidad/avisos/2023/04/smishing-suplantando-la-agencia-tributaria-que-utiliza-como-excusa-el

 

WhatsApp Consúltanos por WhatsApp
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Configurar y más información
Privacidad