Phissing Agencia Tributaria

Piden datos bancarios y personales para una supuesta devolucin

El correo electrnico se ha convertido en una forma muy fcil y cmoda para los
cibercriminales para realizar ataques de phissing (engao) a los usuarios que
utilizan este servicio.
Bsicamente, se envan de manera masiva correos electrnicos maliciosos para
engaar a los usuarios que los reciben y as poder obtener informacin de las
vctimas, como por ejemplo, datos personales, telfonos, nmeros de cuentas
de ahorro, nmeros de tarjetas de crdito, tarjetas de coordenadas o
simplemente infectar a las mquinas desde las que se abren esos correos
maliciosos, normalmente, porque el usuario ha descargado algn fichero adjunto
o simplemente al abrir el correo malicioso ha pulsado sobre un enlace confiando
que ese correo haba sido enviado por una entidad de confianza y no por un
cibercriminal.

Phissing con la imagen de la Agencia Tributaria. Engao con la imagen de

la Agencia Tributaria.
Estando como estamos en plena campaa de presentacin de la declaracin de
la renta, muchos usuarios estn recibiendo un correo electrnico como el que se
muestra en la Figura 1.

Figura 1. Estafa recibida por el correo electrnico.

Al abrir este correo electrnico parece que la Agencia Tributaria te est enviando
un correo electrnico para comunicarte que te van a devolver 244,79 euros.
Incluso, en el correo electrnico aparece el logotipo oficial de la Agencia
Tributaria y reclaman datos como el carnet de identidad, el DNI, el telfono, el
nmero de tu tarjeta bancaria, etc

Cmo reconocer estos timos y cmo evitarlos para no caer en el engao.

1. Fijarnos en el lenguaje que aparece en el correo malicioso: aunque en

los correos maliciosos aparezca en logotipo oficial de la Agencia Tributaria y
del Gobierno de Espaa (ver Figura 2), se puede leer y nos permiten 3
das para procesarla. Este es un lenguaje que no es nuestro, no es muy
castellano. Tambin se puede leer: hemos determinado que usted es
elegible

Figura 2. Timo por correo electrnico usando el logotipo oficial de la Agencia Tributaria
y del Gobierno de Espaa.

Tambin se observa que se invita a pulsar encima de un enlace, CLIC AQU.

Una vez que pinchamos aparece la siguiente pantalla:

Figura 3. Formulario donde los cibercriminales solicitan nuestros datos personales.

Aqu ya es donde nos piden nuestros datos personales y los datos de nuestra
tarjeta de crdito. Aqu es donde estamos abriendo nuestra cuenta bancaria para
aqul que nos est haciendo el engao.
Importante: nos ponen cifras pequeas para atraernos (244,79 euros), pero hay
que tener muy presente que Hacienda jams nos va a pedir los datos online.

2. Fijarnos en la barra de direcciones de nuestro navegador. En la Figura 4

se observa otro ejemplo de phissing. En este caso puede apreciarse que la
direccin que aparece en el navegador, www.gruposantanders.es no se
corresponde con la de la entidad bancaria real, aunque s que se parece
mucho y si no nos paramos a leerlo detenidamente es muy fcil caer en el
engao.

Figura 4. Barra de direcciones del navegador con una direccin que no se corresponde
con la de la entidad bancaria.

3. Fijase en la barra del navegador que se utilice https.

Para que sea una cuenta o web segura tendra que utilizarse https (http seguro)
que indicara que es una direccin segura. Cuando una entidad bancaria o una
administracin local solicitan datos personales o de tus cuentas de crditos y
bancaria, siempre lo hace a travs de una web donde se usa https junto con un
candado de color verde. Esto nos garantiza dos cosas, por un lado que la
informacin va a viajar cifrada y por otro que la pgina realmente es de esa
entidad bancaria y que no es una suplantacin de la web de la entidad bancaria.
En la Figura 5 se muestra una web de una entidad falsa de banca online. No
utiliza HTTPS para cifrar la informacin que enva por Internet y tampoco aparece
un candado de color verde para demostrar que realmente esa pgina es de la
entidad bancaria y no es una copia.
En la Figura 6 se muestra una web segura ya que hace uso de HTTPS para cifrar
la informacin que enva a travs de Internet y adems utiliza en candado de
color verde para demostrar que esa pgina web no es una copia.

Figura 5. Ejemplo de una web de banca online falsa, no utiliza HTTPS

Figura 6. Ejemplo de una web de banca electrnica segura.

Quin genera estas pginas y estos timos?

Los generan grupos de cibercriminales que se dedican al phissing (trmino que
viene del ingls pescar). La idea es enviar este tipo de correos maliciosos a
mucha gente y siempre hay un pequeo porcentaje de gente que acaba cayendo
en el engao y entregando sus datos a estas redes de ciberdelincuentes.
Este tipo de ataques no son de los ms peligrosos en Internet porque son redes
de gente que acaba de entrar en el mundo del cibercrimen o que no tiene

demasiada experiencia porque son estafas muy sencillas de hacer, no se

necesitan grandes conocimientos de tecnologa.

Cae mucha gente en este tipo de estafas?

Todava cae un porcentaje muy grande de gente. Una de las ventajas que
aprovechan los cibercriminales es que hay muchas personas, sobre todo los ms
jvenes o los ms mayores que se han incorporado al mundo de Internet
recientemente y que no conocen estas estafas, pero estos engaos cibernticos
se llevan haciendo desde los aos 90.

Cmo se puede reconocer una pgina mala de una buena?

Las tecnologas de seguridad todava no estn suficientemente adaptadas para
el usuario general. Hay que decir que la banca online y sus equipos de seguridad,
en este pas, son muy punteros en materia de seguridad y que muchas veces,
aunque los cibercriminales consigan engaar al usuario, al minuto siguiente de
que los bancos y los equipos de seguridad de los bancos lo detectan, estn
monitorizando todas estas campaas de estafas bancarias. Inmediatamente los
equipos de cibervigilancia estn accediendo a los servidores de los que cuelgan
todas estas pginas maliciosas para que se cierren y recuperar todos esos datos
que han sido filtrados para que los equipos de seguridad de los bancos
inmediatamente anulen las tarjetas de crdito de los usuarios y sus contraseas.

Y no se pierde el dinero?
Paradjicamente, no, no se pierde. Todava, hoy en da, utilizar una tarjeta de
crdito en un punto de venta es ms peligroso que la banca online porque te
pueden estar clonando (copiando) la tarjeta de crdito cuando vas a pagar con
ella. Los equipos de seguridad de la banca online son realmente buenos en
Espaa.