Instituto Nacional de ciberseguridad. Sección Incibe

Varias oleadas de SMS y correos fraudulentos suplantando a la DGT inundan las bandejas de entrada de la ciudadanía

Varias oleadas de SMS y correos fraudulentos suplantando a la DGT inundan las bandejas de entrada de la ciudadanía 

 
Fecha19/08/2024
Importancia4 - Alta
Recursos Afectados

Cualquier usuario que haya recibido un SMS o correo electrónico con las características descritas, y haya pulsado el enlace para ingresar sus datos personales y bancarios en el sitio web malicioso.

Descripción

Este verano se ha detectado un aumento en el número de campañas de ingeniería social suplantando a la Dirección General de Tráfico (DGT), especialmente a través de smishing, pero también phishing dirigidos a la ciudadanía. Los atacantes se apoyan en una supuesta sanción de tráfico y el uso de excusas como la urgencia o posibles aumentos en la cuantía para que los usuarios accedan a un enlace proporcionado en el texto. Al pulsar sobre dicha URL, el usuario es redireccionado a un sitio web que suplanta la página real de la DGT, donde se le extraerán sus datos personales y bancarios a través de diferentes formularios.

Solución

Si has recibido un SMS o correo electrónico con las características mencionadas, pero no has pulsado en el enlace, te recomendamos bloquear al remitente y eliminar el mensaje de tu bandeja de entrada.

En el caso de haber accedido al enlace y facilitado tus datos personales o bancarios, te recomendamos seguir las instrucciones que te proporcionamos a continuación:

  • Realiza capturas de pantalla y guarda todas las pruebas posibles del mensaje y de los enlaces adjuntos. Para validar dichas evidencias, puedes utilizar testigos online.
  • Ponte en contacto con tu entidad bancaria. De esta forma, te indicarán las medidas necesarias para proteger tu cuenta.
  • En los próximos meses, te recomendamos que practiques egosurfing para verificar que tu información personal no se haya visto filtrada en la Red.
  • Para reportar el fraude, comunícate con la Línea de Ayuda en Ciberseguridad de INCIBE, de esta manera, se podrá prevenir que otras personas sean víctimas. Por otro lado, puedes enviarnos las pruebas que hayas recolectado mediante nuestro buzón de reporte de fraude.
  • Procede a interponer una denuncia ante las autoridades de las Fuerzas y Cuerpos de Seguridad del Estado, asegurándote de proporcionar todas las evidencias que hayas logrado recopilar del fraude.
  • Si continúas dudando sobre la veracidad de una sanción de la DGT, este organismo notifica sus multas a través del correo postal (con un posterior envío al tablón edictal, en caso de que no hayan logrado localizarte en tu domicilio) y a través de notificación electrónica por medio de la DEV – Dirección Electrónica Vial.

Te animamos a que explores nuestra sección dedicada a los ataques de ingeniería social para mantenerte informado y prevenido contra fraudes como el smishing y el phishing.

Detalle

Se han identificado varias campañas de smishing y phishing en las que se suplanta a la DGT. Esta táctica implica el envío masivo de mensajes de texto y correos electrónicos fraudulentos, en los que se informa a las víctimas de que tienen una multa pendiente y se les urge a realizar el pago en un breve plazo de tiempo (24h), o se les hace creer que el mensaje es un último recordatorio.

Al acceder al enlace incluido en estos mensajes, se pide al usuario que complete varios formularios, donde gradualmente se le van solicitando diferentes tipos de datos personales y, finalmente, datos de la tarjeta bancaria.

A continuación, se presentan algunas evidencias de dichos smishing y phishing donde se observan la urgencia que se le trastada a la víctima en el mensaje con el objetivo de que esta no se pare a pensar y a analizar la situación.

Smishing

Por regla general, los motivos que más suelen utilizar los ciberdelincuentes en este tipo de fraudes que utilizan mensajes de texto son apelando a la urgencia del usuario con excusas como el límite de 24 horas para pagar la multa, último recordatorio para pagar la multa y aviso final antes de un incremento de la multa.

Esta imagen representa un fraude sobre un mensaje de texto que alerta al usuario de un último recordatorio antes del aumento de una multa pendiente.
“DGT: Último recordatorio antes del aumento de su multa pendiente de pago. Consulta tú expediente:”

 

 

Esta imagen representa un fraude sobre un mensaje de texto que alerta al usuario de un incremento en una multa por estacionamiento no permitido.
“Aviso final antes del incremento de la multa por estacionamiento no permitido. Realice el pago a través de este enlace:”

 

 

Esta imagen representa un fraude sobre un mensaje de texto que alerta al usuario de que dispone de 24 horas para pagar una multa pendiente.
“DGT OFICIAL: Dispone de 24 horas para pagar su multa del 04/07/2024. Consulte en el siguiente enlace:”

 

Phishing

En el siguiente ejemplo puede observar el correo electrónico recibido, cuyo remitente, no tiene nada que ver con la DGT, y el asunto intenta crear alerta y nerviosismo en el usuario. Este correo contiene un enlace a una página web fraudulenta donde se le solicitarán diferentes tipos de datos personales y bancarios.

Esta imagen representa un correo electrónico haciéndose pasar por la DGT indicando que el usuario que lo recibe tiene una supuesta multa pendiente de pago y se le apremia a acceder a un enlace y resolver dicho pago pendiente.

 

Al hacer clic en el enlace, el usuario es dirigido a una página que imita el diseño y el logo de la web oficial de la DGT. En esta pantalla, se le informa que tiene menos de 24 horas para pagar la multa, advirtiéndole que, de no hacerlo, se le aplicará un recargo del 50% y podría enfrentarse a posibles demandas legales.

 

Esta imagen representa una página web que imita el diseño de la de la web oficial de la DGT y le informa al usuario de que tiene menos de 24 horas para pagar la multa.

 

Después de hacer clic en "Pagar la multa", se mostrará una nueva pantalla que incluye un supuesto número de la multa. En esta pantalla, se solicita al usuario que ingrese varios datos personales, todos ellos obligatorios para poder continuar con el proceso de pago.

 

Esta imagen representa una nueva pantalla del proceso donde el usuario debe ingresar varios datos personales en el formulario que aparece.

 

Una vez que el usuario ha completado el formulario y ha pulsado en "Continuar", se le solicitarán diversos datos de su tarjeta de crédito, como el número de la tarjeta, la fecha de expiración y el código CVV. Estos datos son necesarios para, supuestamente, finalizar el pago de la multa.

 

Esta imagen representa una nueva pantalla del proceso donde el usuario debe ingresar los datos de su tarjeta de crédito para realizar el pago de la multa.

Al continuar, aparecerá un mensaje que indica que se ha solicitado autenticación adicional para completar la transacción. Esto suele ser parte del intento de hacer que el proceso aparente ser más legítimo y seguro.

 

Esta imagen representa una nueva pantalla del proceso donde se indica al usuario que se está realizando una autenticación adicional para completar la transacción.

Tras unos segundos, se muestra una nueva pantalla en la que se solicita un código que supuestamente debería haber llegado por SMS al teléfono móvil proporcionado anteriormente. Sin embargo, este código nunca llegará al dispositivo del usuario.

 

Esta imagen representa una nueva pantalla del proceso donde se le solicita al usuario un código que supuestamente ha debido recibir por SMS.

 

En esta imagen se observa que, al introducir un código aleatorio, el sistema lo detecta como incorrecto, mostrando el mensaje "Invalid". Sin embargo, después de intentarlo nuevamente y pulsar en "Continuar", el proceso avanza, lo que podría dar una falsa sensación de seguridad al usuario, llevándolo a creer que el código era correcto.

 

Esta imagen represneta una nueva pantalla del proceso donde se muestra que el código introducido es invalidado, pero si se introduce nuevamente otro código de manera aleatoria, aparecerá como correcto.

Finalmente, se solicita al usuario que ingrese el código PIN de su tarjeta de crédito, completando así el intento de fraude. Este último paso es especialmente peligroso, ya que proporciona a los estafadores acceso completo a la cuenta bancaria del usuario.

 

Esta imagen representa la última pantalla del proceso, en la cual se le indica al usuario que introduzca el códgio PIN de su tarjeta de crédito.

Durante el proceso los ciberdelincuentes irán recabando todos los datos introducidos en los diferentes formularios y los podrán utilizar para cometer futuros fraudes o ciberdelitos.

 

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).