El Instituto Nacional de Ciberseguridad y la Guardia Civil han alertado de una campaña de phishing que suplanta, vía correo electrónico, la identidad de la Fábrica Nacional de Moneda y Timbre y de la Agencia Tributaria con el objetivo de distribuir un programa malicioso, conocido como GuLoader/Agent Tesla, para obtener información personal.
⚠️#AVISO❗️Detectada una campaña de suplantación a la Fábrica Nacional de Moneda y Timbre #FNMT y a la Agencia Tributaria #AEAT. #NoPiques, su objetivo es infectar tu dispositivo con un #ransomware para obtener tu información personal. Es #phishing👇
— Guardia Civil (@guardiacivil) October 26, 2023
ℹ️https://t.co/n0Qg3KdpSQ pic.twitter.com/83NIqy2eDV
En esta ocasión, ambos correos son bastante similares. Para captar la atención de las potenciales víctimas y que abran el correo electrónico, utilizan asuntos llamativos: “Caducidad de tu Certificado FNMT” y “AEAT – Aviso de Notificación”. Además, en ambos casos, si el receptor no se fija con detalle, el remitente se puede confundir con el oficial y parecen estar relacionados con el organismo correspondiente.: ac.usuarios@fnmt.es y agenciatributaria@correo.aeat.es.
Sin embargo, “los correos electrónicos detectados contienen mensajes con errores de redacción, como expresiones mal formuladas o un orden extraño a la hora de mostrar la información”, señalan desde INCIBE. Además, en los correos se observa que no se facilitan datos concretos del usuario y carecen de logos corporativos de ambas entidades, frecuentes en sus comunicaciones por correo electrónico.
¿Cómo te la intentan colar?
En el email, que no otorga mucha más información que la que recoge el asunto, aparece un documento en el que la potencial víctima, supuestamente, puede obtener más información de su caso. Sin embargo, se trata de un archivo .zip con contenido malicioso, conocido como Agent Tesla, para robar la información bancaria y personal de la víctima, por lo que es recomendable no realizar la descarga de este.
Por ejemplo, en el mensaje que suplanta a la AEAT se solicita al usuario que realice la lectura del archivo adjunto en un plazo de tiempo determinado si quiere evitar acciones negativas sobre su cuenta o información. “De ese modo, se incita la apertura por parte de la víctima para la infección del dispositivo con el que se haya ejecutado”, detallan desde INCIBE.
Sin embargo, la Agencia Tributaria explica en su página web que nunca solicita por correo electrónico, SMS o Bizum información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes, ni adjunta anexos con información de facturas u otros tipos de datos.
En el caso de la FNMT, se solicita al usuario que acceda a una descarga supuestamente para renovar el certificado, pero que, como sucede en el caso anterior, es solo una excusa para infectar el dispositivo y hacerse con los ratos.
¿Qué puedo hacer si he caído en la trampa?
Si has recibido un correo electrónico con las características mencionadas anteriormente, pero no has descargado ningún archivo adjunto, ni has contestado dando ningún tipo de información personal, lo único que tienes que hacer para evitar que el dispositivo se infecte es eliminarlo de tu bandeja de entrada. En caso de que tengas dudas sobre si se trata de una comunicación oficial, puedes ponerte en contacto con la FNMT o AEAT para corroborar si el email es legítimo.
En el caso de que sea demasiado tarde y hayas descargado el dispositivo y lo hayas ejecutado, desde INCIBE aconsejan lo siguiente:
Desconecta el dispositivo que has utilizado para hacer la descarga de la red de tu casa, y de esta manera evitar que se propague a otros dispositivos.
Cambiar la contraseña, hacer uso de doble factor de autenticación (2FA) y cerrar sesiones existentes.
Utiliza el antivirus que tengas instalado en tu sistema para realizar un análisis completo del equipo, y así poder eliminar cualquier amenaza si fuera posible.
Si crees que el dispositivo pudiese seguir infectado, puedes plantearte la opción de formatear el equipo o restablecer los valores de fábrica para desinfectarlo.
Puedes hacer capturas de pantalla del correo y los archivos para adjuntarlos como pruebas si vas a presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, utiliza testigos online para certificar dichas evidencias.
Fuentes
Instituto Nacional de Ciberseguridad
Perfil de X de la Guardia Civil
Página web de la Agencia Tributaria