La última campaña fraudulenta activa un troyano para robar las credenciales de acceso a la banca online
Los ciberdelincuentes emplean toda su artillería también en la campaña de la renta para conseguir que las víctimas piquen el anzuelo. En las últimas semanas se han detectado varias estafas que recurren a la ingeniería social, técnica para ganarse la confianza del usuario, para conseguir que los contribuyentes se descarguen un software malicioso y hacerse con sus datos bancarios.
Se trata de una oleada de correos electrónicos en los que se suplantan direcciones de la Agencia Tributaria con el objetivo de hacer creer a las víctimas que hay algún problema con su declaración del Impuesto sobre la Renta de las Personas Físicas (IRPF). La última campaña de este tipo es “bastante intensa”, explica Josep Albors, responsable de Sensibilización e Investigación de ESET España.
El principal problema para los usuarios es que es “más difícil de detectar” que se trata de mensajes fraudulentos por tres motivos: por la manera en la que está escrito el mensaje, la dirección del remitente y el hecho de que el envío de correos coincida en el tiempo con la campaña de la declaración de la renta 2002. “A primera vista un usuario puede pensar que el correo es legítimo porque contiene los dominios correctos de la Agencia Tributaria (informes@agenciatributaria.gob.es y consultas@correo.aeat.es), pero realmente es una suplantación de identidad que se hace de manera sencilla”, explica Albors. Detrás de esa dirección, hay otra que no es la legítima, pero no se ve a simple vista porque “hay que entrar en la configuración del correo”, lo que solo hace la minoría de usuarios.
Otro elemento que induce al engaño es el logotipo que aparece de la Agencia Tributaria, además de la forma en la que está redactado el correo. “Está bien, no es demasiado extenso, va directo al grano, no tiene faltas de ortografías evidentes, que es algo que desde hace unos años cuidan mucho los ciberdelincuentes”, añade el experto.
Cómo roban los datos bancarios
El troyano espera a que la víctima acceda a su banca online para superponer una web fraudulenta
En el caso de la última estafa detectada, no se adjunta ningún fichero sino que se proporciona un enlace que redirige a la descarga de un fichero alojado en un servidor perteneciente al servicio de la nube de Microsoft, Azure. “Este fichero y el de otras empresas similares limitan el tiempo que las descargas pueden estar activas para evitar que se alojen archivos maliciosos en sus sistemas, pero solo que funcione durante unas horas es suficiente para que los delincuentes consigan su objetivo”, asegura Albors.
Es necesario que el usuario descargue el archivo –que suele estar comprimido- en su sistema para que comience la infección. En este caso, el archivo contiene un fichero en formato xml y otro ejecutable. Este último es un código malicioso que, una vez alojado en el sistema, esperará a que el usuario acceda a la web de su entidad financiera para superponer una web fraudulenta en la pantalla y robar las credenciales de acceso a la banca online. Con esta información, los ciberdelincuentes ya tendrán acceso a la cuenta y, si consiguen engañar a la víctima para que les envíe los códigos de verificación necesarios a través de técnicas de ingeniería social, podrán vaciarle la cuenta.
Recomendaciones
Cómo evitar picar en el anzuelo
Si se cae en la trampa, el Instituto Nacional de Ciberseguridad (INCIBE) recomienda desconectar de la red el dispositivo infectado para evitar que el malware pueda llegar a otros dispositivos y realiza un análisis exhaustivo con el antivirus. Mientras que si se recibe un correo sospechoso “que tenga que ver con problemas con la cuenta bancaria, tarjetas de crédito o facturas”, Josep Albors aconseja “no hacer caso y ponerse en contacto con la entidad bancaria o con el organismo suplantado” para comprobar la veracidad de la comunicación. En ningún caso hay que clicar un enlace, sino acceder directamente a la web del organismo o entidad.
(Noticia extraída de La Vanguardia)