Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Campaña de distribución de phishing suplantando a la Agencia Tributaria

Fecha de publicación 23/03/2023
Importancia
3 - Media
Recursos Afectados

Cualquier empleado, usuario o autónomo que haga uso del correo electrónico y reciba un mensaje como los descritos en este aviso.

Descripción

Se ha detectado una campaña de phishing que trata de suplantar a la Agencia Tributaria y utiliza una página web fraudulenta, similar a la legítima, con el fin de obtener las credenciales de acceso del usuario.

Solución

Se recomienda a todos los usuarios que reciban un correo electrónico con las características descritas en este aviso que lo eliminen directamente y lo pongan en conocimiento del resto de compañeros para evitar posibles víctimas.

En caso de haber facilitado las credenciales, será necesario cambiarlas lo antes posible en todos aquellos servicios en las que se utilicen y activar el doble factor de autenticación en aquellas cuentas que no lo tengamos activado y sea posible.

Recuerda que siempre puedes reportar este u otros incidentes similares para que desde INCIBE-CERT se puedan gestionar y evitar que el fraude se propague. También puedes informar a la Agencia Tributaria sobre este y otro tipo de fraudes a través de su página de ayuda.

Si has recibido una notificación por parte de la AEAT y te surgen dudas, puedes visitar su web y ver ejemplos de fraudes que se han elaborado suplantándoles e incluso reportárselos si has recibido uno. También puedes ponerte en contacto con la Agencia Tributaria para contrastar la información de los SMS o correos recibidos y te ayudarán a solventar dicho problema a través de su chat.

Detalle

Los correos electrónicos detectados en esta campaña tienen el siguiente asunto: «Agencia Tributaria – Aviso n. XXXXXXXXXX».

En el cuerpo del mensaje se indica al usuario que tiene disponible una nueva notificación. Se adjuntan los datos de esta falsa notificación, entre ellos el titular, para el que utilizan el correo electrónico en vez del nombre y apellidos reales del destinatario, dado que lo desconocen. Además, incluye un identificador que probablemente sea un número aleatorio.

Por otro lado, se incita al usuario a acceder a una serie de enlaces maliciosos haciéndolos pasar por reales. Estos enlaces utilizan un dominio completamente diferente al legítimo, lo que debería hacer sospechar al usuario.

Además, para dar credibilidad añaden el correo electrónico del destinatario en la URL para que al pulsar sobre él aparezca el formulario de credenciales autocompletado.

El mensaje termina alertando sobre los posibles efectos jurídicos de no responder a la notificación. Añadiendo este tono de urgencia, los ciberdelincuentes pretenden que la víctima actúe sin tiempo para pensar.

Email phishing AEAT

En caso de acceder al enlace, la víctima será redirigida a una página web fraudulenta, muy similar a la legítima, en la que se le solicitarán las credenciales de correo electrónico. 

Es importante recordar que el proceso de autenticación en la sede electrónica de la Agencia Tributaria se realiza a través del DNI electrónico, clave o certificado digital. No se accede a través de un usuario de correo electrónico y contraseña, por lo que al ver este tipo de inicio de sesión, el usuario debería alertarse.

Web falsa EAET

De introducir los datos y pulsar en «ENTRAR», estos quedarán en manos de los ciberdelincuentes.

No se descarta que puedan darse campañas similares a la descrita en las que varíe el asunto o cuerpo del mensaje.

 

Contenido realizado en el marco de los fondos del  Plan de Recuperación, Transformación y Resiliencia  del Gobierno de España, financiado por la Unión Europea (Next Generation).

Etiquetas