Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Nueva campaña de malware por correo electrónico que suplanta a la AEAT

Fecha de publicación 30/07/2020
Importancia
4 - Alta
Recursos Afectados

Cualquier empleado o autónomo que haya recibido un correo electrónico con las características descritas en este aviso.

Descripción

En los últimos días se han detectado varias campañas masivas de envío de correos electrónicos fraudulentos que tratan de suplantar a la Agencia Tributaria con la intención de difundir malware.

En las campañas identificadas, el correo tiene como asunto: «Notificacion pendiente (números aleatorios)» o «impuesto pendiente (números aleatorios)». En el cuerpo del mensaje se solicita al usuario verificar si el «monto de la factura fiscal es correcto» y se le indica que el plazo de pago ha finalizado. El correo tiene asociado un archivo adjunto en formato pdf que, al pulsar sobre él, descarga el archivo comprimido con el nombre «COMPROBANTE_(números aleatorios)_(carácteres_aleatorios).zip» que contiene un troyano. Este compromete la seguridad del equipo y facilita al ciberdelincuente el robo de información.

Solución

Es importante que ante la mínima duda analices detenidamente el correo, tal y como explicamos en el artículo: ¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos

Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

Para evitar ser víctima de este tipo de engaños te recomendamos seguir estos consejos:

  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Revisa los enlaces antes hacer clic, aunque sean de contactos conocidos.
  • Desconfía de los enlaces acortados.
  • Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
  • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

Además, es importante que realices periódicamente copias de seguridad. Guárdalas en una ubicación diferente. Verifica que se realizan correctamente y que sabes recuperarlas. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa de forma ágil.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Detalle

Como se ha indicado en el aviso publicado el 24 de julio, el correo electrónico detectado distribuye un tipo de malware que ha sido identificado como Trojan Cryxos. Se trata de un malware de tipo scareware que está diseñado para mostrar alertas o notificaciones engañosas haciendo creer al usuario que su equipo está infectado con un virus y se encuentra bloqueado. Este tipo de malware está diseñado para robar datos personales del usuario.

El cuerpo del mensaje del correo electrónico que suplanta a la Agencia Tributaria es el siguiente:

Aviso de seguridad 30/07/2020 - Campaña malware AEAT

Al pulsar sobre la imagen del archivo PDF, se abre el navegador para descargar a continuación un archivo malicioso denominado “COMPROBANTE_69135_PCZ.zip” como puede verse en la siguiente imagen:

Aviso de seguridad 30/07/2020 - Descarga Comprobante AEAT

El archivo descargado contiene malware. Algunos navegadores pueden detectarlo.

ACTUALIZACIÓN 06/08/2020:

Se ha detectado una nueva campaña que suplanta a la AEAT y que cuyo remitente y asunto varía respecto al aviso emitido el pasado día 30 de julio, tal y como se puede comprobar en la imagen siguiente:

Aviso de seguridad actualización 06/08/2020 - Campaña malware AEAT

Consulta de notificaciones emitidas por parte de la Agencia Tributaria

A continuación, os detallamos cómo se consulta una notificación emitida por parte de la Agencia Tributaria o de otro organismo público. En ambos casos, lo recomendable siempre es acceder a través la sede electrónica del organismo que nos ha notificado. En nuestro caso, abriremos una ventana en un navegador e introduciremos la dirección web de la sede electrónica de la Agencia Tributaria.

Una vez dentro de la sede electrónica de la AEAT, seleccionaremos en la parte derecha de la pantalla la opción “Mis notificaciones”.

Aviso de seguridad 30/07/2020 - Página principal Sede electrónica AEAT

A continuación, en la nueva pantalla de la sección “Notificaciones”, seleccionamos la opción “Consulta de notificaciones y comunicaciones” como se puede observar en la siguiente imagen:

Aviso de seguridad 30/07/2020 - Consulta notificaciones y comunicaciones AEAT

El siguiente paso, consiste en identificarnos en la sede electrónica de la AEAT con nuestras credenciales. Para realizar este paso, la AEAT pone a nuestra disposición varias opciones como son la identificación mediante certificado electrónico emitido por la FNMT, mediante DNI electrónico o a través del servicio Cl@ve PIN, que es la opción que hemos elegido para este ejemplo. Para hacer uso de dicho servicio, debemos darnos de alta.

Para obtener la clave PIN facilitaremos previamente el número del DNI junto con la fecha de validez del mismo como puedes observar en la siguiente imagen:

Aviso de seguridad 30/07/2020 - Ejemplo DNI electrónico

Una vez hemos localizado dichos datos en nuestro DNI, los introducimos en la pantalla de acceso y pulsamos el botón “Continuar”.

Aviso de seguridad 30/07/2020 - Acceso a Sede electrónica AEAT

En la siguiente pantalla podemos solicitar el envío del código PIN a través de SMS, o si tenemos instalada la app Cl@ve PIN en nuestro dispositivo móvil (disponible en los mercados de aplicaciones de Play Store de Google y en la App Store de iOS) recibiremos en la app el código. También es posible obtenerlo escaneando el código QR que aparece en la pantalla. En este ejemplo, obtendremos el PIN a través de la app instalada en un dispositivo Android.

Aviso de seguridad 30/07/2020 - Obtener clave pin en app

Una vez hemos obtenido el PIN la introducimos en el campo correspondiente y pulsamos el botón “Acceder”, tal y como puedes observar en la siguiente imagen:

Aviso de seguridad 30/07/2020 - Descarga Comprobante AEAT

Una vez hemos accedido a la Sede electrónica, en la siguiente ventana veremos todas las notificaciones que hemos recibido por parte de la Agencia Tributaria acompañada cada una de una breve descripción en la que se incluye el concepto, la persona a la que va dirigido la comunicación, así como la fecha de emisión del comunicado.

Aviso de seguridad 30/07/2020 - Pantalla mostrando el resumen de notificaciones recibidas por el titular emitidas por la AEAT

Para acceder al comunicado que deseamos visualizar, pulsamos en su número de certificado. Se cargará una nueva pantalla donde se mostrará la información detallada del comunicado seleccionado. Por último, se presiona el botón “Ver comunicación”.

Aviso de seguridad 30/07/2020 - resumen comunicado AEAT

En este último paso, se abrirá en una nueva ventana un archivo pdf que contiene la información relativa al comunicado que hemos recibido.

Línea de ayuda en ciberseguridad 017

Etiquetas