Importància:

Alta

Descripció:

Des de INCIBE s’han detectat diverses campanyes de SMS (smishing) que suplanten a l’Agència Tributària. L’objectiu és que el receptor accedeixi a un enllaç que li redirigeix a una pàgina fraudulenta d’aspecte similar a la legítima per a sostreure les dades de la seva targeta bancària.

En els SMS identificats varia el missatge, però segueixen una estructura comuna. En tots ells, es fa creure a l’usuari que té dret a una devolució, incitant-lo a seguir l’enllaç fraudulent i ingressar les seves dades bancàries.

Recursos afectats:

Qualsevol empleat, autònom o empresa que hagi rebut un missatge suplantant a l’Agència Tributària, sol·licitant dades bancàries.

Solució:

Si ja has accedit a l’enllaç i has donat les teves dades per a rebre el reemborsament, seguint les seves indicacions, procedeix de la següent forma:

  1. Contacta al més aviat possible amb la teva entitat bancària per a informar-los del succeït i cancel·lar possibles transaccions que s’hagin pogut efectuar.
  2. Si has facilitat també dades personals, com el número de telèfon o el correu, roman atent i revisa per a comprovar que no siguis objecte d’una altra mena de frau per aquests mitjans o que no et suplantin.
  3. Finalment, sempre pots denunciar aquesta situació davant les Forces i Cossos de Seguretat de l’Estat (FCSE).

Evita ser víctima de smishing seguint les nostres recomanacions:

  • No obris missatges d’usuaris desconeguts o que no hagis sol·licitat, elimina’ls directament. No contestis en cap cas a aquests SMS.
  • Tingues precaució en seguir enllaços, encara que siguin de contactes coneguts. Hem de comprovar l’enllaç sempre, situant-nos sobre el per a veure si és el de l’entitat legítima o usant eines per a expandir-lo si està escurçat.
  • Si el SMS té fitxers adjunts, serà millor no descarregar-los sense comprovar que coneixem al remitent i confirmar que ens l’ha enviat.
  • Revisa la pàgina web i segueix bones pràctiques per a navegar segur. Comprova la URL per a veure si es tracta de l’entitat que esperes i si tenen certificat web. Si no és així, no facilitis cap mena d’informació personal: nom d’usuari, contrasenya, dades bancàries, etc.
  • En cas de dubte, consulta directament amb l’entitat implicada a través dels seus canals oficials.

Detalls sobre els SMS:

En els SMS detectats, que suplanten a l’Agència Tributària, amb l’excusa de rebre un reemborsament, s’insta el receptor del SMS a prémer en un enllaç que redirigeix a una pàgina falsa, en la qual se li sol·liciten dades bancàries per a abonar la quantitat.

La pàgina fraudulenta té un disseny molt semblant al de la legítima, per la qual cosa no fa sospitar al receptor de trobar-se davant una web fraudulenta. La manera de comprovar-ho és revisant la URL de la web, que no es tracta del domini legítim, sinó d’un que tracta de simular-lo. La quantitat indicada varia en funció del missatge rebut.

Pàgina fraudulenta que suplanta a l'Agència Tributària

Si l’usuari introdueix les seves dades bancàries, aquests passaran a les mans dels ciberdelinqüents.

Des de LISOT, com a empresa de ciberseguretat, us ajudem a securizar i implementar aquestes bones pràctiques de seguretat en els equips informátics de la vostra empresa.