Phissing Agencia Tributaria
6
Phissing Agencia Tributaria Piden datos bancarios y personales para una supuesta devolución El correo electrónico se ha convertido en una forma muy fácil y cómoda para los cibercriminales para realizar ataques de phissing (engaño) a los usuarios que utilizan este servicio. Básicamente, se envían de manera masiva correos electrónicos maliciosos para engañar a los usuarios que los reciben y así poder obtener información de las víctimas, como por ejemplo, datos personales, teléfonos, números de cuentas de ahorro, números de tarjetas de crédito, tarjetas de coordenadas… o simplemente infectar a las máquinas desde las que se abren esos correos maliciosos, normalmente, porque el usuario ha descargado algún fichero adjunto o simplemente al abrir el correo malicioso ha pulsado sobre un enlace confiando que ese correo había sido enviado por una entidad de confianza y no por un cibercriminal. Phissing con la imagen de la Agencia Tributaria. Engaño con la imagen de la Agencia Tributaria. Estando como estamos en plena campaña de presentación de la declaración de la renta, muchos usuarios están recibiendo un correo electrónico como el que se muestra en la Figura 1. Figura 1. Estafa recibida por el correo electrónico.
-
Upload
amador-aparicio -
Category
Documents
-
view
215 -
download
0
Transcript of Phissing Agencia Tributaria
-
Phissing Agencia Tributaria
Piden datos bancarios y personales para una supuesta devolucin
El correo electrnico se ha convertido en una forma muy fcil y cmoda para los
cibercriminales para realizar ataques de phissing (engao) a los usuarios que
utilizan este servicio.
Bsicamente, se envan de manera masiva correos electrnicos maliciosos para
engaar a los usuarios que los reciben y as poder obtener informacin de las
vctimas, como por ejemplo, datos personales, telfonos, nmeros de cuentas
de ahorro, nmeros de tarjetas de crdito, tarjetas de coordenadas o
simplemente infectar a las mquinas desde las que se abren esos correos
maliciosos, normalmente, porque el usuario ha descargado algn fichero adjunto
o simplemente al abrir el correo malicioso ha pulsado sobre un enlace confiando
que ese correo haba sido enviado por una entidad de confianza y no por un
cibercriminal.
Phissing con la imagen de la Agencia Tributaria. Engao con la imagen de
la Agencia Tributaria.
Estando como estamos en plena campaa de presentacin de la declaracin de
la renta, muchos usuarios estn recibiendo un correo electrnico como el que se
muestra en la Figura 1.
Figura 1. Estafa recibida por el correo electrnico.
-
Al abrir este correo electrnico parece que la Agencia Tributaria te est enviando
un correo electrnico para comunicarte que te van a devolver 244,79 euros.
Incluso, en el correo electrnico aparece el logotipo oficial de la Agencia
Tributaria y reclaman datos como el carnet de identidad, el DNI, el telfono, el
nmero de tu tarjeta bancaria, etc
Cmo reconocer estos timos y cmo evitarlos para no caer en el engao.
1. Fijarnos en el lenguaje que aparece en el correo malicioso: aunque en
los correos maliciosos aparezca en logotipo oficial de la Agencia Tributaria y
del Gobierno de Espaa (ver Figura 2), se puede leer y nos permiten 3
das para procesarla. Este es un lenguaje que no es nuestro, no es muy
castellano. Tambin se puede leer: hemos determinado que usted es
elegible
Figura 2. Timo por correo electrnico usando el logotipo oficial de la Agencia Tributaria y del Gobierno de Espaa.
Tambin se observa que se invita a pulsar encima de un enlace, CLIC AQU.
Una vez que pinchamos aparece la siguiente pantalla:
-
Figura 3. Formulario donde los cibercriminales solicitan nuestros datos personales.
Aqu ya es donde nos piden nuestros datos personales y los datos de nuestra
tarjeta de crdito. Aqu es donde estamos abriendo nuestra cuenta bancaria para
aqul que nos est haciendo el engao.
Importante: nos ponen cifras pequeas para atraernos (244,79 euros), pero hay
que tener muy presente que Hacienda jams nos va a pedir los datos online.
2. Fijarnos en la barra de direcciones de nuestro navegador. En la Figura 4
se observa otro ejemplo de phissing. En este caso puede apreciarse que la
direccin que aparece en el navegador, www.gruposantanders.es no se
corresponde con la de la entidad bancaria real, aunque s que se parece
mucho y si no nos paramos a leerlo detenidamente es muy fcil caer en el
engao.
-
Figura 4. Barra de direcciones del navegador con una direccin que no se corresponde con la de la entidad bancaria.
3. Fijase en la barra del navegador que se utilice https.
Para que sea una cuenta o web segura tendra que utilizarse https (http seguro)
que indicara que es una direccin segura. Cuando una entidad bancaria o una
administracin local solicitan datos personales o de tus cuentas de crditos y
bancaria, siempre lo hace a travs de una web donde se usa https junto con un
candado de color verde. Esto nos garantiza dos cosas, por un lado que la
informacin va a viajar cifrada y por otro que la pgina realmente es de esa
entidad bancaria y que no es una suplantacin de la web de la entidad bancaria.
En la Figura 5 se muestra una web de una entidad falsa de banca online. No
utiliza HTTPS para cifrar la informacin que enva por Internet y tampoco aparece
un candado de color verde para demostrar que realmente esa pgina es de la
entidad bancaria y no es una copia.
En la Figura 6 se muestra una web segura ya que hace uso de HTTPS para cifrar
la informacin que enva a travs de Internet y adems utiliza en candado de
color verde para demostrar que esa pgina web no es una copia.
-
Figura 5. Ejemplo de una web de banca online falsa, no utiliza HTTPS
Figura 6. Ejemplo de una web de banca electrnica segura.
Quin genera estas pginas y estos timos?
Los generan grupos de cibercriminales que se dedican al phissing (trmino que
viene del ingls pescar). La idea es enviar este tipo de correos maliciosos a
mucha gente y siempre hay un pequeo porcentaje de gente que acaba cayendo
en el engao y entregando sus datos a estas redes de ciberdelincuentes.
Este tipo de ataques no son de los ms peligrosos en Internet porque son redes
de gente que acaba de entrar en el mundo del cibercrimen o que no tiene
-
demasiada experiencia porque son estafas muy sencillas de hacer, no se
necesitan grandes conocimientos de tecnologa.
Cae mucha gente en este tipo de estafas?
Todava cae un porcentaje muy grande de gente. Una de las ventajas que
aprovechan los cibercriminales es que hay muchas personas, sobre todo los ms
jvenes o los ms mayores que se han incorporado al mundo de Internet
recientemente y que no conocen estas estafas, pero estos engaos cibernticos
se llevan haciendo desde los aos 90.
Cmo se puede reconocer una pgina mala de una buena?
Las tecnologas de seguridad todava no estn suficientemente adaptadas para
el usuario general. Hay que decir que la banca online y sus equipos de seguridad,
en este pas, son muy punteros en materia de seguridad y que muchas veces,
aunque los cibercriminales consigan engaar al usuario, al minuto siguiente de
que los bancos y los equipos de seguridad de los bancos lo detectan, estn
monitorizando todas estas campaas de estafas bancarias. Inmediatamente los
equipos de cibervigilancia estn accediendo a los servidores de los que cuelgan
todas estas pginas maliciosas para que se cierren y recuperar todos esos datos
que han sido filtrados para que los equipos de seguridad de los bancos
inmediatamente anulen las tarjetas de crdito de los usuarios y sus contraseas.
Y no se pierde el dinero?
Paradjicamente, no, no se pierde. Todava, hoy en da, utilizar una tarjeta de
crdito en un punto de venta es ms peligroso que la banca online porque te
pueden estar clonando (copiando) la tarjeta de crdito cuando vas a pagar con
ella. Los equipos de seguridad de la banca online son realmente buenos en
Espaa.
