Campaña de distribución de phishing suplantando a la Agencia Tributaria

Fecha de publicación: 23/03/2023

Importancia:
Media

Recursos afectados:

Cualquier empleado, usuario o autónomo que haga uso del correo electrónico y reciba un mensaje como los descritos en este aviso.

Descripción:

Se ha detectado una campaña de phishing que trata de suplantar a la Agencia Tributaria y utiliza una página web fraudulenta, similar a la legítima, con el fin de obtener las credenciales de acceso del usuario.

Solución:

Se recomienda a todos los usuarios que reciban un correo electrónico con las características descritas en este aviso que lo eliminen directamente y lo pongan en conocimiento del resto de compañeros para evitar posibles víctimas.

En caso de haber facilitado las credenciales, será necesario cambiarlas lo antes posible en todos aquellos servicios en las que se utilicen y activar el doble factor de autenticación en aquellas cuentas que no lo tengamos activado y sea posible.

Recuerda que siempre puedes reportar este u otros incidentes similares para que desde INCIBE-CERT se puedan gestionar y evitar que el fraude se propague. También puedes informar a la Agencia Tributaria sobre este y otro tipo de fraudes a través de su página de ayuda.

Si has recibido una notificación por parte de la AEAT y te surgen dudas, puedes visitar su web y ver ejemplos de fraudes que se han elaborado suplantándoles e incluso reportárselos si has recibido uno. También puedes ponerte en contacto con la Agencia Tributaria para contrastar la información de los SMS o correos recibidos y te ayudarán a solventar dicho problema a través de su chat.

Detalle:

Los correos electrónicos detectados en esta campaña tienen el siguiente asunto: «Agencia Tributaria – Aviso n. XXXXXXXXXX».

En el cuerpo del mensaje se indica al usuario que tiene disponible una nueva notificación. Se adjuntan los datos de esta falsa notificación, entre ellos el titular, para el que utilizan el correo electrónico en vez del nombre y apellidos reales del destinatario, dado que lo desconocen. Además, incluye un identificador que probablemente sea un número aleatorio.

Por otro lado, se incita al usuario a acceder a una serie de enlaces maliciosos haciéndolos pasar por reales. Estos enlaces utilizan un dominio completamente diferente al legítimo, lo que debería hacer sospechar al usuario.

Además, para dar credibilidad añaden el correo electrónico del destinatario en la URL para que al pulsar sobre él aparezca el formulario de credenciales autocompletado.

El mensaje termina alertando sobre los posibles efectos jurídicos de no responder a la notificación. Añadiendo este tono de urgencia, los ciberdelincuentes pretenden que la víctima actúe sin tiempo para pensar.

En caso de acceder al enlace, la víctima será redirigida a una página web fraudulenta, muy similar a la legítima, en la que se le solicitarán las credenciales de correo electrónico. 

Es importante recordar que el proceso de autenticación en la sede electrónica de la Agencia Tributaria se realiza a través del DNI electrónico, clave o certificado digital. No se accede a través de un usuario de correo electrónico y contraseña, por lo que al ver este tipo de inicio de sesión, el usuario debería alertarse.

De introducir los datos y pulsar en «ENTRAR», estos quedarán en manos de los ciberdelincuentes.

No se descarta que puedan darse campañas similares a la descrita en las que varíe el asunto o cuerpo del mensaje.
 

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Etiquetas:
Fraude, Phishing