{"id":60613,"date":"2023-04-14T09:53:48","date_gmt":"2023-04-14T07:53:48","guid":{"rendered":"https:\/\/miradordeatarfe.es\/?p=60613"},"modified":"2023-04-11T20:56:24","modified_gmt":"2023-04-11T18:56:24","slug":"aprovechan-la-campana-de-la-renta-2022-para-lanzar-una-ciberestafa-que-suplanta-a-la-agencia-tributaria","status":"publish","type":"post","link":"https:\/\/miradordeatarfe.es\/?p=60613","title":{"rendered":"Aprovechan la campa\u00f1a de la Renta 2022 para lanzar una ciberestafa que suplanta a la Agencia Tributaria"},"content":{"rendered":"

El objetivo de los ciberdelincuentes es robar las credenciales de los usuarios y datos de car\u00e1cter personal con el objetivo de acceder a otros servicios o venderlos como tr\u00e1fico de informaci\u00f3n.<\/h3>\n
\n
\n
\n
\n
\n

Actores maliciosos han lanzado una campa\u00f1a de suplantaci\u00f3n de la Agencia Tributaria a trav\u00e9s de correos electr\u00f3nicos para el robo de credenciales, aprovechando los meses en los que se realiza la declaraci\u00f3n de la renta para crear confusi\u00f3n.<\/p>\n

En concreto, se han identificado durante los \u00faltimos d\u00edas dos tipos de correo malicioso que simulan ser una notificaci\u00f3n de la Agencia Tributaria para enga\u00f1ar al usuario. En estos correos los ciberdelincuentes utilizan t\u00e9cnicas ya conocidas, como son la suplantaci\u00f3n de un sitio web para robar credenciales y el env\u00edo de archivos adjuntos infectados con el malware<\/em> infostealer para robar informaci\u00f3n personal.<\/p>\n

As\u00ed lo ha advertido la compa\u00f1\u00eda de ciberseguridad ESET en un comunicado, quien ha identificado estos ataques e insiste en la importancia de prestar atenci\u00f3n a estos emails<\/em>, sobre todo, ahora que se inicia la campa\u00f1a de la declaraci\u00f3n de la renta.<\/p>\n

En este sentido, en algunos de estos correos, los actores maliciosos env\u00edan un enlace que lleva al usuario a una web fraudulenta que simula ser la oficial de la Agencia Tributaria. Para incentivar que el usuario pulse dicho enlace, los ciberdelincuentes indican que se trata de un aviso de una notificaci\u00f3n enviado por dicho organismo. De esta forma, para que el usuario pueda acceder a la supuesta notificaci\u00f3n se les ofrece un enlace directo.<\/p>\n

Redirecci\u00f3n a una web fraudulenta<\/strong><\/p>\n

Una vez se pulsa en el enlace, los actores maliciosos dirigen al usuario a una web fraudulenta que simula ser la web oficial de la Agencia Tributaria. Sin embargo, se trata de una p\u00e1gina falsa que tiene una apariencia y un dise\u00f1o muy similares a la oficial, incluso, seg\u00fan apunta ESET, un dominio que resulta cre\u00edble y un certificado de seguridad.<\/p>\n

Dentro de la p\u00e1gina, el objetivo de los actores maliciosos es el de robar las credenciales de los usuarios, aunque no est\u00e1 claro qu\u00e9 datos precisos se pretenden obtener, ya que pueden ser credenciales de email <\/em>o cualquier otro dato relativo a la Agencia Tributaria, como apuntan desde la firma de ciberseguridad. Una vez obtienen los datos, los ciberdelincuentes los utilizan posteriormente para acceder a otros servicios o venderlos como tr\u00e1fico de informaci\u00f3n.<\/p>\n

No obstante, se puede identificar que se trata de un enga\u00f1o analizando la URL, que incluye detalles que revelan que se trata de una web falsa. Por ejemplo, en la URL de los correos analizados aparece la extensi\u00f3n ‘.bz’ que hace referencia a los dominios de Belize, algo extra\u00f1o para una web gubernamental espa\u00f1ola. En caso de tratarse de la web oficial de la Agencia Tributaria aparecer\u00edan las extensiones ‘.gob’ y ‘.es’.<\/p>\n

Asimismo, seg\u00fan comprob\u00f3 ESET en investigaciones respecto a este dominio, se trata de una web registrada hace alrededor de dos meses desde Mosc\u00fa lo que, \u00abdeber\u00eda encender todas las alarmas\u00bb.<\/em><\/p>\n

Siguiendo esta l\u00ednea, a pesar de que la web est\u00e1 dotada con un certificado de seguridad, algo que se identifica con el icono del candado cerrado que aparece en la barra de b\u00fasqueda, esta caracter\u00edstica solo indica que los datos enviados desde el dispositivo del usuario a la web se transmiten por un canal cifrado, no que se trate de una web segura en s\u00ed, y no implica ninguna garant\u00eda de que el usuario est\u00e9 navegando por un sitio web leg\u00edtimo.<\/p>\n

Adem\u00e1s, tal y como verific\u00f3 la compa\u00f1\u00eda de ciberseguridad a trav\u00e9s de Certificate Viewer, este certificado tambi\u00e9n se obtuvo muy recientemente, concretamente a finales de marzo, lo que se convierte en \u00abotro indicativo de que se trata de una web fraudulenta\u00bb.<\/em><\/p>\n

Por otra parte, la apariencia de estos correos electr\u00f3nicos es id\u00e9ntica a la plantilla utilizada en otra campa\u00f1a de ataques identificada en el mes de enero, seg\u00fan detalla ESET. En ella, aparecen datos espec\u00edficos que simulan de forma precisa los correos oficiales de este organismo. Sin embargo, en este caso, en vez de hacer referencia a una comunicaci\u00f3n postal, ahora los actores maliciosos se refieren a una notificaci\u00f3n electr\u00f3nica.<\/p>\n

Email<\/em> con infostealer<\/strong><\/p>\n

El otro tipo de correo electr\u00f3nico identificado en esta campa\u00f1a de suplantaci\u00f3n de la Agencia Tributaria incluye un documento malicioso que descarga el malware<\/em> infostealer. As\u00ed, con este correo los actores maliciosos pretenden robar la informaci\u00f3n personal que se encuentre almacenada en los sistemas del dispositivo que queden infectados.<\/p>\n

En este caso, el email <\/em>tambi\u00e9n utiliza la excusa de un aviso de una supuesta notificaci\u00f3n de la Agencia Tributaria, pero en el remitente tambi\u00e9n se hace referencia a la F\u00e1brica Nacional de Moneda y Timbre, todo ello con el fin de parecer un aviso cre\u00edble y ganarse la confianza del usuario.<\/p>\n

De esta forma, los actores maliciosos incluyen en el email<\/em> un documento identificado como ‘AEAT – Aviso de Notificaci\u00f3n administrativa’, dando a entender a los usuarios que deben abrirlo para acceder al contenido de la notificaci\u00f3n.<\/p>\n

Concretamente, se trata de un archivo adjunto comprimido que, lejos de incluir una notificaci\u00f3n, contiene un fichero ‘.bat’ en el que se encuentra el c\u00f3digo malicioso que ejecuta la fase inicial del malware<\/em> infostealer.<\/p>\n

Al respecto, tal y como ha se\u00f1alado ESET, se basa en una variante del troyano identificada como ‘NSIS\/Injector.BVJ trojan’. Este tipo de malware<\/em> descarga y ejecuta en el sistema infostealer, que de esta forma consigue atacar al usuario robando sus credenciales personales tanto en aplicaciones instaladas en el dispositivo infectado, como introducidas en navegadores de Internet, en el correo electr\u00f3nico o, incluso, en el acceso a VPNs.<\/p>\n

Por todo ello, tal y como ha indicado el director de Investigaci\u00f3n y Concienciaci\u00f3n de ESET Espa\u00f1a, Josep Albors, los usuarios deben aprender a \u00abidentificar este tipo de correos maliciosos para descartarlos nada m\u00e1s recibirlos y contar con soluciones de seguridad capaces de identificar las amenazas que suelen contener\u00bb.<\/em><\/p>\n

EUROPA PRESS<\/p>\n

FACUA<\/p>\n

https:\/\/www.facua.org\/es\/noticia.php?Id=19440<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

El objetivo de los ciberdelincuentes es robar las credenciales de los usuarios y datos de…<\/p>\n","protected":false},"author":1,"featured_media":60614,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_coblocks_attr":"","_coblocks_dimensions":"","_coblocks_responsive_height":"","_coblocks_accordion_ie_support":"","jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"enabled":false},"version":2}},"categories":[1161,44,6937,6920,15],"tags":[2638,66],"class_list":["post-60613","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciudadania","category-noticias-de-hoy","category-sociedad","category-tecnologia","category-ultimas-noticias","tag-agencia-tributaria","tag-fraude"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/miradordeatarfe.es\/wp-content\/uploads\/2023\/04\/n19440h.jpg?fit=1300%2C904&ssl=1","jetpack_likes_enabled":true,"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/posts\/60613","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=60613"}],"version-history":[{"count":1,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/posts\/60613\/revisions"}],"predecessor-version":[{"id":60615,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/posts\/60613\/revisions\/60615"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/media\/60614"}],"wp:attachment":[{"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=60613"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=60613"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=60613"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}