La Agencia Tributaria vuelve a ser utilizada por ciberdelincuentes para llevar a cabo una nueva estafa. En este caso, los delincuentes están haciéndose pasar por la entidad enviando mensajes SMS a los usuarios para pedirles sus datos bancarios con la excusa de un supuesto reembolso de dinero.
La combinación de distintas técnicas para llevar a cabo nuevas ciberamenazas es una de las características de los ataques actuales. En esta ocasión, la empresa Avast alerta de la detección de una nueva campaña que combina el smishing, o estafas a través de SMS, con la ingeniería social y el phishing.
De esta forma, los ciberdelincuentes envían un SMS a los usuarios haciéndose pasar por la Agencia Tributaria con la excusa de un supuesto reembolso de impuestos. En este mensaje adjuntan un enlace al que se le pide al usuario que acceda para realizar la operación.
En el momento en el que pinchan en el enlace, redirige a una página fraudulenta que simula ser de la Agencia Tributaria y en la que se les solicita información como nombre completo, número de tarjeta de crédito, fecha de caducidad, el código de seguridad (CVV), y PIN de seguridad.
Una vez incorporados los datos, se les informa de que deben introducir un código que reciben a través de un SMS, que nunca reciben, o de la aplicación del banco, donde se les dice que recibirán una notificación con el reembolso.
En el caso de incorporar todos esos datos con la excusa de poder acceder a la devolución prometida, los delincuentes se harán con ellos y podrán utilizarlos para realizar pagos o comercializar con ellos.
Cómo evitar una estafa a través de SMS
Ante la proliferación de estos mensajes, desde Avast, el evangelista de seguridad de la compañía, Luis Corrons, ofrece una serie de recomendaciones para que los usuarios no caigan víctima de esta estafa.
En primer, aquellos que reciban un SMS de estas características en nombre de la Agencia Tributaria, lo primero que deben hacer es eliminarlos sin abrirlos. No obstante, en el caso de dudar sobre si el mensaje es real o falso, es importante no hacer clic en ningún enlace adjunto.
En este caso, deben ponerse en contacto directamente con su banco o con la empresa de la que proceda el mensaje, ya sea la Agencia Tributaria u otra, visitando su sitio web y utilizando la información de contacto que aparece en ella.
En opinión de Corrons, un detalle que puede ayudar a los usuarios a detectar cuando se trata de una estafa y el sitio web es falso es que carece de funcionalidad. Esto conllevará que no funcionen acciones como la selección de idioma u otras funcionalidades.
