[Actualización 12/02/2024] Campaña de phishing para suplantar a la Agencia Tributaria
Cualquier empresario, autónomo o empleado que haga uso del correo electrónico y reciba un mensaje similar al descrito en este aviso.
Se ha detectado una campaña de correos electrónicos fraudulentos, de tipo phishing, que intenta robar las credenciales de acceso de las víctimas suplantando a la Agencia Tributaria.
En caso de haber recibido un correo electrónico como los que se describen en este aviso, es recomendable eliminarlo inmediatamente, sin acceder al enlace ni proporcionar ningún dato, y ponerlo en conocimiento del resto de compañeros y del equipo de Sistemas para evitar posibles víctimas.
Si se ha accedido al enlace y se han introducido las credenciales, se recomienda:
- Cambiar inmediatamente la contraseña que se ha proporcionado, tanto en este como en todos los servicios donde se utilice.
- Activar un doble factor de autenticación siempre que sea posible.
- Reportar el incidente desde la web de INCIBE para evitar que la campaña se siga propagando.
- Informar a la Agencia Tributaria sobre el correo recibido a través de su página de ayuda.
El phishing es uno de los fraudes más extendidos a través de la Red. Los ciberdelincuentes intentan suplantar la identidad de entidades o personas fiables para obtener información confidencial, datos de acceso o información bancaria. Conoce más tipos de phishing en este artículo de blog.
Los correos electrónicos detectados siguen una estructura similar a la descrita a continuación. En primer lugar, el mensaje es impersonal, se dirige al destinatario como “Estimado solicitante” sin aportar ningún tipo de dato que lo identifique.
A continuación, los ciberdelincuentes intentan manipular a la víctima escribiendo en tono de urgencia “NOTIFICACIÓN FINAL: QUEDAN 48 HORAS PARA RESPONDER”. Con ello pretenden que la víctima actúe rápido y sin tiempo para pensar.
Se informa de que existe una nueva notificación para la cuenta de correo electrónico a la que va dirigido el mensaje y se aportan datos, seguramente aleatorios, como el identificador.
En este caso, la supuesta notificación está relacionada con la declaración del impuesto sobre el valor añadido (IVA) y la falta de documentación en la misma.
Posteriormente, se vuelve a hacer hincapié en la urgencia del supuesto trámite, indicando a la víctima que tiene un plazo de 48 horas y que es “imperativo actuar con diligencia” ante la solicitud fraudulenta.
Para terminar, pretendiendo dar más credibilidad al mensaje, se nombra una ley y se firma el mensaje como si de la Agencia Estatal de Administración Tributaria (AEAT) se tratase.
En el segundo tipo de correo los ciberdelincuentes también hacen referencia a una supuesta notificación y facilitan un enlace de acceso que resulta ser fraudulento. No se descartan mensajes similares a los descritos anteriormente.
En caso de hacer clic en el enlace, se redirige al usuario a una página web fraudulenta, muy similar a la legítima, en la que se solicitan las credenciales de acceso.
De introducir los datos y hacer clic en “Entrar”, estos quedarán en manos de los ciberdelincuentes.
Es importante destacar que para acceder al área personal de la Agencia Tributaria, se solicita el certificado digital, DNI electrónico o Cl@ve, nunca el correo electrónico, por lo que el hecho de que en el formulario se pida la dirección de correo electrónico, debería ser señal de sospecha.
[Actualización 12/02/2024]
Detectado un nuevo repunte de la campaña que suplanta a la Dirección Electrónica Habilitada Única (DEHÚ) de la Agencia Tributaria. La notificación se caracteriza por recibirse desde un correo electrónico con dominio @redsara.es. El asunto de estos correos es: "Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXXXX". El mensaje contiene datos que simulan ser información personal del destinatario, aunque únicamente varía la dirección de correo electrónico en los diferentes correos interceptados. Su objetivo en robar datos del sistema y del usuario, simplemente, al pulsando en el enlace que contiene el correo, ya que el enlace redirige a una página legítima.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).