Dentro de las plantillas de correo usadas por los delincuentes para conseguir engañar a los usuarios y propagar así sus amenazas, la que utiliza la imagen de la Agencia Tributaria es todo un clásico. Sin embargo, hasta no hace demasiado, esta plantilla tan solo era utilizada principalmente durante el periodo de declaración de la renta, algo que ha cambiado considerablemente en este 2020.
Correo de reembolso
A nadie le amarga un reembolso en su cuenta de una cantidad de dinero lo que se dice jugosa, ¿verdad? Eso mismo deben de haber pensado los delincuentes detrás de esta campaña, puesto que suplantando la identidad de la Agencia Estatal de Administración Tributaria, se están enviando correos en los que se ofrece un reembolso del impuesto de la renta por un valor considerable que puede hacer que más de un usuario no haga caso a las señales que indican que estamos ante un engaño.
Para empezar, aunque el correo parezca provenir de la Agencia Tributaria, una revisión de la cabecera nos permite descubrir que el envío original se realiza en realidad desde un dominio francés. A pesar de este punto importante, la gran mayoría de los usuarios no revisan las cabeceras ni estando ante un correo sospechoso como este. Aun así, si analizamos el cuerpo del mensaje veremos como la cantidad indicada no se corresponde con el importe mencionado en el asunto del correo.
Por si fuera poco, la redacción del mensaje (pese a estar libre de faltas de ortografía) resulta un tanto extraña, además de no incluir ningún sello oficial y dirigir directamente al usuario a que pulse sobre el enlace incluido.
Web fraudulenta
En el caso de que el usuario pulse sobre el enlace preparado por los delincuentes, este será redirigido a una web que, ahora sí, utiliza los logotipos de la Agencia Tributaria y del Gobierno de España, además de contar con un certificado válido que le otorga el conocido candado verde. No obstante, si nos fijamos en el dominio utilizado comprobaremos como este no tiene relación alguna con la Agencia Tributaria y, de hecho, pertenece a un sitio web con más de siete años y medio de antigüedad.
Un dato curioso es que, por defecto, el idioma utilizado en esta web es el gallego y no deja cambiar a otro idioma ni pulsar sobre muchos de los enlaces que aparecen. El usuario tan solo puede optar por introducir su número del Documento Nacional de Identidad para seguir avanzando en el proceso. Además del DNI, también se solicita la fecha hasta la cual es válido el documento, permitiéndonos continuar una vez haya sido introducida.
En el siguiente paso, se le solicita a la víctima una dirección de correo electrónico, con una alerta indicando que se ha detectado un inicio de sesión sospechoso y que es necesario introducir el email en el campo indicado. En este paso también observamos como el idioma cambia a español, salvo en los enlaces, que siguen estando en gallego.
Una vez introducido el email observamos como los delincuentes se han tomado la molestia de personalizar la plantilla en la ventana emergente que aparece solicitando la contraseña. De esta forma, si introducimos una dirección de correo perteneciente a servicios de Microsoft, Yahoo! o Google, la ventana mostrada será diferente en cada caso. Solo en el caso de Google se nos mostrará una alerta indicando que la conexión no es segura.
En el caso de introducir una dirección de correo que no pertenezca a uno de estos servicios, se mostrará una plantilla genérica en el que introducir igualmente la contraseña.
Con toda esta información, parece claro que el objetivo de los delincuentes en esta campaña es recopilar credenciales de acceso a cuentas de email. Probablemente estas credenciales sean usadas posteriormente en otros ataques más dirigidos o en campañas de envío de spam. Incluso en el caso de que los atacantes le dediquen el tiempo suficiente, se podría utilizar este acceso a la cuenta de correo de las víctimas para obtener información confidencial y usarla en su contra o en la de su empresa.
Robo de cuentas bancarias
Los delincuentes no se detienen una vez que han conseguido las credenciales de acceso al correo electrónico de la víctima puesto que el siguiente paso es nada menos que la soliicitud de nuestro número de cuenta bancaria y para ellos nos solicitan el IBAN, con la excusa de necesitarlo para hacer el reembolso del dinero.
Por si fuera poco, a continuación se nos pide una copia de nuestro Documento Nacional de Identidad por las dos caras. Este punto es especialmente importante ya que con esta información y el número de cuenta el delincuente podría incluso llegar a obtener acceso a los fondos de nuestra cuenta bancaria si consigue engañar a algún responsable de la entidad donde tenemos nuestros ahorros.
Una vez completados todos los pasos anteriores se nos mostrará un mensaje agradeciéndonos habernos tomado las molestias de rellenar todos los campos con la información solicitada.
Conclusión
Acabamos de ver un caso de phishing que si bien deja bastante que desear en su ejecución por los numerosos indicios que deberían hacernos sospechar, puede resultar igualmente efectiva con usuarios desprevenidos al utilizar un asunto llamativo como es la devolución de dinero y una web con logotipos oficiales. Conviene estar atentos ante este tipo de correos, revisar los puntos que hemos mencionado durante el análisis y asegurarse por vías oficiales de que no estamos ante un engaño.