Coincidiendo con la campaña de la Renta 2022, la Guardia Civil y la Oficina de Seguridad del Internauta (OSI) han detectado un nuevo caso de phishing que suplanta la identidad de la Agencia Tributaria. En este caso, el pretexto de los ciberdelincuentes es corregir unos datos erróneos de la declaración de la renta. Para realizar la rectificación de dicha información, el correo incluye un enlace que, en realidad, es un virus informático.
🔔#AVISO Identificada campaña de #phishing suplantando a #AgenciaTributaria
— Guardia Civil (@guardiacivil) May 6, 2023
Si recibes un mail con el pretexto de corregir datos de tu declaración de la renta…
¡no abras los archivos adjuntos! contienen código malicioso #Malware
#NoPiques
🔗https://t.co/Py2SgPyqiM pic.twitter.com/pVbxRXzP67
“Teniendo en cuenta la información que obra en poder de la Agencia Tributaria. No ha sido posible devolverle el imposto actual campaña de Renta. Por diversas razones aun no dispongamos de la totalidad de los datos necesarios. Para la devolución Para ello, han de comunicar estos datos lo antes posible siguiendo Este Enlace” (sic), se puede leer en el correo.
Si has recibido un correo electrónico como este, elimínalo lo antes posible, porque se trata de una estafa. El objetivo de los estafadores es que los incautos descarguen y ejecuten el archivo comprimido (.zip), haciendo que el malware entre en funcionamiento
Este mensaje que suplanta la imagen de la Agencia Tributaria es una estafa
En esta ocasión, en el cuerpo del mensaje se advierte de la urgencia de la corrección de unos datos en la declaración de la renta, dada la diferencia en el IRPF. En el correo se adjunta una URL de descarga de un archivo ejecutable (archivo.exe) con un código fraudulento.
Se trata de un malware conocido como AutoIT v3 Script. Si se ejecuta, iniciará un proceso de segundo plano en el dispositivo de la víctima, lo que provocará una bajada en el rendimiento del equipo, según informa la Oficina de Seguridad del Internauta. El objetivo de esta invasión es que el usuario descargue el archivo adjunto, dada tanta urgencia, consiguiendo que el malware se inicie.
Desde la Oficina de Seguridad del Internauta (OSI) explican que el nombre del archivo puede variar, “pero que en todos los casos se descarga como archivo comprimido por defecto en la carpeta ‘Descargas’ del dispositivo”. Al descomprimir la carpeta, se puede confundir con un documento .pdf. Sin embargo, al poner atención, se puede observar que, en realidad, se trata de un archivo ejecutable .exe.
Si el dispositivo está infectado por el malware, aparecerán avisos urgentes para instalar un software de terceros, también malicioso.
¿Cómo identificar estos ataques?
Desde la Oficina de Seguridad del Internauta avisan sobre las características que levantan sospechas sobre la autenticidad del mensaje:
- La urgencia con la que se proyecta la narrativa es una técnica para incitar a la víctima.
- La redacción contiene faltas de ortografía y fallos gramaticales.
- El dominio de la Agencia Tributaria (www.agenciatributaria.es o sede.agenciatributaria.gob.es) no coincide con el dominio del remitente.
La Agencia Tributaria advierte de que no se haga caso de este tipo de mensajes fraudulentos, cuyo objetivo es robar datos personales o bancarios. El organismo recuerda que nunca solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta ni adjunta anexos con información de facturas u otros tipos de datos. Tampoco efectúan las devoluciones por tarjeta de crédito. Ni cobra importe por los servicios prestados, excepto por las llamadas a teléfonos 901.
Fuentes y herramientas
Twitter oficial de la Guardia Civil
Oficina de Seguridad del Internauta (OSI)
Página web de la Agencia Tributaria: A través de Internet: páginas web falsas y phishing