El mensaje fraudulento informa de un reembolso de impuestos de 462 euros y para esa supuesta devolución piden datos personales
El segundo semestre de 2022 sigue destacando por un importante aumento de los ciberataques a todo tipo de empresas, instituciones y usuarios particulares. Los últimos datos del Observatorio de Ciberseguridad de Exprivia muestran como el crecimiento ha sido de un 77% con respecto al primer trimestre del año.
La mayoría de estos ataques e incidentes de seguridad han estado dirigidos a Administraciones públicas españolas, entidades financieras y bancarias y al sector sanitario. Los organismos públicos son unos de los blancos más atractivos para los ciberdelincuentes porque almacenan información valiosa e importante.
Los métodos de ataque pueden ser muy variados, desde ataques DDos, el popular ransomware o también campañas de phishing. Una de las últimas campañas de robo de datos a través de este último método, el phishing, acaba de ser comunicada por el Instituto Nacional de Ciberseguridad y se trata de la suplantación a la Agencia Tributaria.
El phishing en este caso tiene que ver con un falso SMS que los usuarios reciben en el que se informa de un reembolso de impuestos. “AGENCIA TRIBUTARIA. Ha sido calificado para un rembolso de impuestos de (462€). Encontrarás más información en la página web (…)«. Este es el texto que contiene un SMS falso que intenta suplantar a la Agencia Tributaria. En este SMS se incluye un enlace a una web. Esta web simula ser el sitio oficial de la Agencia Tributaria pero realmente es una página fraudulenta que utiliza la imagen corporativa y su diseño.
La Agencia Tributaria aclara que nunca solicita números de tarjeta ni otra información personal a los contribuyentes a través de SMS: “La Agencia Tributaria insiste en que nunca solicita por correo electrónico o SMS información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes, ni adjuntan anexos con información de facturas u otros tipos de dato”, explica en su web.
Por su parte, el Instituto Nacional de Ciberseguridad (INCIBE) ha advertido de este tipo de campañas de phishing que ya se detectaron el pasado mes de junio y que ahora vuelven a darse en forma de mensaje de reembolso económico. Desde el Instituto afirman que esta estafa la puede sufrir cualquier empleado, autónomo o empresa que realice habitualmente operaciones de banca electrónica.
Cómo evitar ser víctima de un ataque de phising
No abras mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos directamente. No contestes ni a los correos ni a los SMS que presenten estas características.
Si recibes un SMS o correo sospechoso, ponte en contacto con la entidad que dice enviártelo antes de realizar ninguna acción e informales de lo que contiene el mensaje.
No pinches directamente en enlaces, aunque sean de contactos conocidos. Dantes intenta comprobar el enlace, situándose sobre el para ver si es el de la entidad legítima o usando herramientas para expandirlo o si está acortado.
Si un SMS tiene ficheros adjuntos, será mejor no descargarlos sin comprobar que conocemos al remitente y confirmar que nos lo ha enviado. Si los hemos descargado, debemos utilizar herramientas antivirus para escanearlo y ver si es o no sospechoso.