La OSI (Oficina de Seguridad del Internauta) ha dado el aviso sobre una nueva campaña de smishing con la que los ciberdelincuentes suplantan a la Agencia Tributaria.
En qué consiste la estafa de smishing
En términos generales, los ciberdelincuentes están utilizando la ayuda de 200€ que está proporcionando el Gobierno para robar datos personales y bancarios a los solicitantes. En el SMS fraudulento se pide actualizar la información de pago para poder recibir la ayuda.
Los estafadores utilizan la técnica de la ingeniería social, es decir, manipulan a los usuarios para obtener sus datos, en este caso, personales y bancarios.
El SMS fraudulento es como se indica a continuación: “Agencia Tributaria notificaciones: no hemos podido tramitar la ayuda de 200 euros a tu cuenta bancaria. debido a la falta de información de pago, actualice desde aquí: [url fraudulenta]”
Como se puede observar, el mensaje contiene faltas de ortografía, de puntuación y gramaticales, lo que podría hacer sospechar a los usuarios de que se trata de un fraude.
Enlace fraudulento del smishing
También cabe destacar lo que ocurre si los usuarios pulsan sobre el enlace fraudulento que aparece en el mensaje. Éste redirigirá a una página web fraudulenta en la que se solicitará a la víctima cierta información personal y bancaria mediante un formulario. Los datos solicitados son el nombre, número de teléfono, dirección y código postal, número de tarjeta bancaria, fecha de caducidad de la tarjeta, código de seguridad y PIN de la tarjeta.
A continuación, cuando el usuario pulsa sobre el botón de “Continuar”, se le pide que introduzca un código que ha recibido por SMS en el número indicado anteriormente. De esta forma, se supone, que se completa el reembolso de la ayuda de 200€.
Por último, los ciberdelincuentes han establecido que, cuando la víctima introduzca el código, se le redirija a la página oficial de la Agencia Tributaria, para que piense que el proceso ha sido normal y oficial y no dude. Sin embargo, en ese momento los estafadores ya contarán con todos los datos del usuario.
Qué hacer si recibes un SMS de este tipo
Si recibes un SMS como hemos descrito anteriormente, pero no pulsas sobre el enlace, simplemente bloquéalo y elimínalo. No tienes que preocuparte, estás a salvo.
Si, en cambio, has pulsado sobre el enlace y facilitado todos tus datos, debes seguir las siguientes instrucciones. En primer lugar, ponte en contacto con tu banco para informar de lo ocurrido y bloquear la tarjeta y sus movimientos. También es recomendable que revises los movimientos de tu cuenta durante los próximos meses para ver si se produce alguno sin tu autorización.
Por otro lado, debes cambiar tus códigos de seguridad y el PIN de la tarjeta, así como recopilar todas las evidencias posibles para poder denunciar ante las autoridades.
Para finalizar, puedes practicar el egosurfing para ver si hay información privada tuya por internet.
Además, en estos casos siempre puedes contactar con la entidad para ver si los SMS o correos electrónicos son reales o si se trata de una estafa.
