Hay cosas que nunca cambian: los anuncios de turrones por navidad, las rebajas en enero y los casos de phishing de la Agencia Tributaria cuando empieza la temporada para hacer la declaración de la renta. Esto último es lo que se han encontrado miles de usuarios españoles durante estos últimos días en sus bandejas de entrada de correo electrónico. Pero como siempre hay alguien que pica o usuarios que ven este engaño por primera vez vamos a repasar en que consiste.
Email de la Agencia Tributaria
La fórmula utilizada por los perpetradores de este engaño no ha variado mucho en los últimos años. Si echamos la vista atrás unos años veremos como la técnica es prácticamente la misma. Si acaso, con los años se han utilizado todo tipo de logotipos o mensajes redactados de diferente forma para tratar de convencer a algún incauto para que pulse sobre el enlace preparado para la ocasión.
En el correo que se empezó a recibir hace unos días vemos cómo se informa de unas nuevas deducciones que podemos solicitar a través de una supuesta nueva herramienta que se puede descargar desde el enlace proporcionado en el propio correo.
Como siempre, se trata de convencer al usuario para que pique en el anzuelo y se deje convencer con las promesas de obtener un reembolso económico. Y es que el dinero sigue siendo uno de los argumentos preferidos por los delincuentes a la hora de engañar a los más despistados, demostrándose así que hay cosas que no cambian con el tiempo y que se deben reforzar las labores de concienciación para evitar este tipo de estafas.
Análisis del enlace malicioso
En el momento de analizar este nuevo caso de phishing, la web a la que se redirigía desde el correo electrónico ya había dejado de funcionar pero, viendo casos anteriores es fácil suponer que podía haberse alojado en ella. Una de las opciones es que esa web alojara un falso formulario de reembolso donde el usuario introduciría sus datos, incluyendo los de su tarjeta de crédito, para que, supuestamente, se le abonase una cantidad importante de dinero.
Un ejemplo de este tipo de webs con phishing de la agencia tributaria lo podemos ver a continuación:
También es posible que la falsa aplicación que se anuncia en el correo fraudulento sea en realidad algún tipo de malware, como por ejemplo un ransomware que cifre los dato de nuestro ordenador y pida un rescate a cambio. No obstante, no hemos visto un incremento notable de este tipo de casos en los últimos días como para afirmar que se trate de un malware de este tipo.
Si nos fijamos en los dominios utilizados en esta campaña de phishing, vemos que se han utilizado varios con un patrón similar. En nuestro laboratorio hemos identificado unos cuantos de estos dominios, como por ejemplo:
- «hxxp://tributariaagencia.org/»
- «hxxp://agencia-tributaria-gov.com/»
- «hxxp://agencia-tributaria.org»
Estos dominios parecen haber sido creado el mismo día en el que se inició la campaña de propagación de correos electrónicos fraudulentos, el pasado martes 10 de marzo. Tal y como podemos comprobar en la siguiente captura, los dominios ya han sido dados de baja y ya no se puede acceder a ellos.
Conclusión
Muchos de nuestros lectores pueden estar preguntándose como es posible que este tipo de campañas siguen realizándose varios años después de que se avisara el primer caso. La respuesta es bien sencilla: porque funcionan, y la mayoría de los ciberdelincuentes prefieren explotar estrategias que ya han demostrado su efectividad.
No obstante, esto no impide que sigan desarrollándose amenazas más complejas cada día, que afecten cada vez a más dispositivos y que requieran de soluciones y prácticas de seguridad más avanzadas. Es por eso que resulta vital estar informado y concienciarse en las tendencias del cibercrimen para saber como actuar en casos como este.