Se ha detectado una campaña de smishing que suplanta a la Agencia Tributaria. A través de un SMS se le solicita al usuario facilitar la información de la tarjeta bancaria para recibir el reembolso de un impuesto o de la renta de 2022. La finalidad de esta estafa es robar los datos bancarios de las víctimas.
Recursos afectados
Todos aquellos usuarios que hayan recibido el SMS malicioso y hayan facilitado los datos de su tarjeta bancaria.
Solución
Si has recibido un SMS con las características mencionadas anteriormente, pero no has pulsado el enlace, bloquéalo, márcalo como spam y elimínalo de tu bandeja de mensajes.
Por el contrario, si has accedido a la dirección y has facilitado los datos solicitados en el formulario, te sugerimos que realices las siguientes recomendaciones:
- Notifica a tu banco para informarle del suceso y bloquea todos los movimientos que se hayan realizado sin tu autorización.
- Durante las próximas semanas o meses te recomendamos que revises los movimientos que realices con tu cuenta bancaria y, en el caso de que detectes alguno que no sea conocido o sin tu autorización, ponte inmediatamente en contacto con tu entidad bancaria para denegarlo.
- Cambia los códigos de seguridad y el PIN de tu tarjeta de crédito lo antes posible.
- Reúne las evidencias del fraude: URL de la página fraudulenta en la cual dejaste tus datos, extractos bancarios y toda aquella información que se pueda proporcionar para poder realizar una denuncia ante las FCSE.
- Recopila las evidencias con testigos online y preséntalas ante las Fuerzas y Cuerpos de Seguridad del Estado. Después tendrás que solicitar una copia de la denuncia y entregarla a tu banco.
- Si la denuncia no te ayudara a recuperar el dinero que te hayan robado, puedes presentar una reclamación a través del Banco de España.
- Te recomendamos que también pongas en práctica el egosurfing para asegurarte de que no se haya compartido la información privada que otorgaste a la página maliciosa. Puedes utilizar herramientas para realizar búsquedas avanzadas como Google Dorks. En el caso de haber encontrado tus datos, solicita tu derecho al olvido a través de la Agencia Española de Protección de Datos.
- Si has recibido una notificación de la Agencia Tributaria y aun así te surgen dudas puedes visitar su web y ver ejemplos de fraudes que les han realizado suplantándoles e incluso reportárselos si has recibido uno.
- demás, puedes ponerte en contacto con ellos para contrastar la información de los correos o SMS que hayas recibidos y te ayudarán a solventar dicho problema a través de su chat.
Detalles
Se ha descubierto una campaña de ingeniería social conocida como smishing, en la cual se suplanta a la Agencia Tributaria mediante el envío de un SMS. el mensaje indica a la víctima que se le ha calificado para un reembolso y que para procesarlo correctamente debe pulsar en el enlace proporcionado.
El objetivo de este fraude es robar los datos de la tarjeta bancaria de la víctima por medio de una página web fraudulenta que contiene un formulario.
Los SMS que se han podido identificar hasta ahora contienen errores ortográficos y gramaticales en su redacción, lo que hace sospechar de su veracidad.
AGENCIA TRIBUTARIA: Os ha calificado para un reembolso de impuesto de (450,00€). Verifica los datos en la página web: [URL fraudulenta]
AGENCIA TRIBUTARIA: Os ha calificado para un reembolso de la Renta 2022 de importe 411,00. Encuentra mas informacion en la pagina: [URL fraudulenta]
Si se pincha en el enlace, este redirigirá a una web maliciosa, la cual solicitará a través de un formulario la siguiente información: nombre completo, número de tarjeta, fecha de caducidad, código de seguridad y PIN de seguridad.
Una vez completado y pulsado el botón ‘Continuar’, la página web redirigirá a otra en la que nos solicitará un código SMS, que supuestamente hemos recibido en nuestro dispositivo móvil, para así completar el reembolso.
Una vez introducido cualquier código de 6 dígitos, la página mostrará otra pantalla de carga y nos redirigirá a la página legítima de la Agencia Tributaria, pero los ciberdelincuentes ya estarán en posesión de los datos de nuestra tarjeta bancaria.
Esta técnica es empleada por los ciberdelincuentes para no levantar sospechas y que la víctima piense que ha realizado un procedimiento seguro, cuando realmente ha sido víctima de un fraude.