Alerta de ciberestafa per l’emissió de correus d’Hisenda fraudulents

Els ciberdelinqüents aprofiten la campanya de la renda 2020 per infectar els ordinadors dels contribuents

Alerta de ciberestafa per l’emissió de correus d’Hisenda fraudulents

El Centre d’Operació de la Seguretat (COPS) de lAgència de Ciberseguretat de Catalunya va rebre, el 6 d’abril passat, dues notificacions per part de l’Agència Tributària de Catalunya (ATC) que alertaven de la detecció d’una campanya d’enviament de correus electrònics fraudulents que suplanten l’Agència Estatal de l’Administració Tributària espanyola (AEAT). Aquests missatges, sota el títol “Acció fiscal” i amb el suposat propòsit de consultar el contribuent sobre les seves dades, s’aprofiten de l’inici de la campanya de la Renda 2020 per difondre programari maliciós.

Agencia Tributaria, acció fiscal

Els correus, emesos des dels comptes www-data@multashf29.uhkdlp.es i www-data@vps-6de96aad.vps.ovh.net segons l’anàlisi del COPS de l’Agència de Ciberseguretat de Catalunya, contenen les imatges dels logotips oficials de l’AEAT i el Ministerio de Hacienda, per persuadir l’usuari de la seva autenticitat. Els enllaços tenen l’aparença de les adreces URL de l’AEAT, però dirigeixen a vincles fraudulents en altres ubicacions. Aquesta campanya de phishing encoberta fa referència a una suposada acció fiscal i ofereix la possibilitat a l’usuari de consultar-ne les dades a través de dos enllaços falsos d’accés a la Seu Electrònica de l’AEAT.


Senyals d’alarma per identificar una comunicació maliciosa

En el missatge hi ha alguns senyals d’alarma que haurien d’alertar el lector sobre la possible falsedat de la comunicació.

contingut mail hisenda
  • Al cos del correu hi ha errades: hi ha una construcció lingüística enrevessada i hi ha un infinitiu en comptes d’un imperatiu com a crida a l’acció. És estrany que una administració pública es dirigeixi als ciutadans de forma tan descuidada.
  • També insta l’usuari a accedir a la seu electrònica de l’AEAT a través d’un botó o descarregar un arxiu pdf enllaçat, dues pràctiques completament inhabituals per part d’aquest organisme. Ambdós vincles condueixen a un arxiu .zip on hi ha el troià de tipus scareware Trojan Cryxos comprimit. Aquest programari maliciós sol enganyar els usuaris perquè visitin llocs web infestats i mostra notificacions fraudulentes que alerten que la computadora ha estat infectada i bloquejada, a més d’ocupar-se de sostreure les dades personals de l’usuari.
mail hisenda

Aquesta mena de frau digital combina spoofing i pharming. En l’argot de ciberseguretat, l’spoofing designa la pràctica de canviar els detalls del remitent d’un correu electrònic per suplantar la identitat d’un emissor; el pharming o desencaminament consisteix a suplantar la identitat d’un web, ens oficial, empresa o usuari a la xarxa, per tal que les potencials víctimes es convencin que interactuen amb una entitat confiable, facilitin inadvertidament dades sensibles o executin aplicacions nocives. En definitiva, l’objectiu és que l’usuari quedi a mercè dels atacants o del seu programari maliciós.

Si pensem que podem haver estat víctimes d’aquesta mena d’estafa informàtica, a més d’esborrar l’arxiu que hem descarregat, el millor és que escanegem l’ordinador amb un antivirus actualitzat i el desinfectem.


Petits consells de ciberseguretat per evitar ciberestafes

  • Convé recordar que és sempre aconsellable que ens assegurem de la legitimitat dels missatges que rebem; si es tracta de comunicacions emeses per organismes oficials o empreses reconegudes, podem recórrer als seus comptes i canals d’atenció verificats per sortir de dubtes.
  • Igualment, és important que no accedim als webs dels serveis que utilitzem sovint a través d’enllaços rebuts al correu electrònic i que ho fem a través del navegador, consignant-hi una URL coneguda i segura.
  • Cal desconfiar preventivament dels missatges amb promocions i ofertes massa llamineres que ens insten a accedir immediatament a llocs web.
  • En una connexió insegura, per evitar el pharming, quan haguem d’introduir dades personals, cal que prestem atenció que la URL contingui el cadenat que identifica les capçaleres HTTPS i que disposa d’un certificat d’autenticitat.
  • Sobretot, és millor no obrir mai arxius adjunts que ens hagin arribat a través de correus sospitosos.

Malgrat que l’AEAT no s’ha pronunciat sobre aquest intent de ciberestafa en concret, sí que ha reconegut al seu web que ha detectat campanyes de tramesa de missatges per correu electrònic i SMS falsos que en suplanten la identitat en l’inici de la campanya de la renda 2020. Actualment, l’usuari que provi de descarregar el fitxer no podrà fer-ho perquè el lloc web en què s’allotjava es troba inactiu i l’enllaç ha estat substituït automàticament per un vincle segur per a les eines de protecció.

L’AEAT recorda en el seu web que mai no sol·licita per correu electrònic o SMS informació confidencial, econòmica o personal, comptes bancaris ni números de targeta dels contribuents ni adjunta annexos amb informació de factures ni altra mena de dades, de manera que convé dubtar preventivament de qualsevol comunicació amb aquests requeriments en el seu nom.

Durant el període de declaració de la renda poden incrementar-se aquests atacs, per això cal extremar les precaucions.