Se han descubierto varias campañas que utilizan la técnica de ingeniería social conocida como smishing, en la cual se suplanta a la Agencia Tributaria mediante el envío de un SMS. El mensaje indica a la víctima que se le ha calificado para un reembolso o que se le va a realizar una devolución del ejercicio anterior y que para procesarlo correctamente debe pulsar en el enlace proporcionado.
El objetivo de este fraude es robar los datos personales y de la tarjeta bancaria de la víctima por medio de una página web fraudulenta que contiene un formulario.
Ejemplos de mensajes reales que los estafadores envían
Caso 1:
Los SMS que se han podido identificar hasta ahora contienen errores ortográficos y gramaticales en su redacción, lo que hace sospechar de su veracidad.
Se muestra un SMS de supuestamente de la agencia tributaria indicándole al receptor de un reembolso y que verifique los datos en el siguiente enlace adjunto
AGENCIA TRIBUTARIA: Os ha calificado para un reembolso de impuesto de (450,00€). Verifica los datos en la página web: [URL fraudulenta]
Se muestra un SMS de supuestamente de la agencia tributaria indicándole al receptor de un reembolso de la renta 2022 y que verifique los datos en el siguiente enlace adjunto
AGENCIA TRIBUTARIA: Os ha calificado para un reembolso de la Renta 2022 de importe 411,00. Encuentra mas información en la pagina: [URL fraudulenta]
Caso 2:
Se muestra un SMS de supuestamente de la agencia tributaria indicándole al receptor de una devolución del ejercico 2022 junto con el bono social de 200 euros
Los SMS identificados no contienen faltas ortográficas ni de redacción, por lo que hacen más complicada su identificación. URGENTE, AGENCIA TRIBUTARIA: el resultado de su ejercicio anterior ha resultado favorable para usted. Pulse aquí para recibir la devolución de 178,44€ más el bono oficial de 200€ inmediatamente antes del día 14/04/2023. [URL fraudulenta] Gracias.
Al analizar la URL que contiene el mensaje, ya se puede observar de ante mano que esta no pertenece al dominio oficial de la Agencia tributaria, pero si se pulsa en el enlace, este redirigirá a una web maliciosa, la cual solicitará a través de un formulario: nombre completo o nombre y apellidos, número de tarjeta o cuenta bancaria, fecha de caducidad, código de seguridad, PIN de seguridad, DNI o teléfono.
Si se pincha en el enlace, este redirigirá a una web maliciosa, la cual solicitará a través de un formulario la siguiente información: nombre completo, número de tarjeta, fecha de caducidad, código de seguridad y PIN de seguridad.
Se muestra una página web simulando ser la de la página de la agencia tributaria en la cual se solicita información de carácter financiara a través de un formulario
Una vez completado y pulsado el botón ‘Continuar’, la página web redirigirá a otra en la que nos solicitará un código SMS, que supuestamente hemos recibido en nuestro dispositivo móvil, para así completar el reembolso.
Se muestra una página web simulando ser la de la página de la agencia tributaria en la cual se solicita en una caja de texto un código SMS
Una vez introducido cualquier código de 6 dígitos, la página mostrará otra pantalla de carga y nos redirigirá a la página legítima de la Agencia Tributaria, pero los ciberdelincuentes ya estarán en posesión de los datos de nuestra tarjeta bancaria.
Se muestra una ventana principal de la página legítima de la Agencia Tributaria
Esta técnica es empleada por los ciberdelincuentes para no levantar sospechas y que la víctima piense que ha realizado un procedimiento seguro, cuando realmente ha sido víctima de un fraude.
