Recursos afectados:
Potencialmente cualquier empleado que reciba el correo, y en particular quienes gestionen los impuestos (IRPF, IVA,…). Los autónomos y las empresas deben hacer cuentas con Hacienda dependiendo de las actividades que desarrollen según el calendario fiscal.
Descripción:
Acercándose la campaña de la renta, como en otros años es probable que aparezcan campañas de phishing a través de email simulando correos procedentes de la Agencia Tributaria.
Solución:
Como en cualquier otro caso de phishing, se recomienda desconfiar de todos los mensajes recibidos por correo electrónico en los que se ofrezca dinero al usuario, reembolsárselo o prometérselo si participa en alguna actividad: la recomendación general al recibir esos correos electrónicos es borrarlos sin abrirlos.
Para evitar ser víctima de fraudes de tipo phishing:
- No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
- No contestes en ningún caso a estos correos.
- Precaución al seguir enlaces en correos, en SMS, mensajes en Whatsapp o en redes sociales, aunque sean de contactos conocidos.
- Precaución al descargar ficheros adjuntos de correos, en SMS, mensajes en Whatsapp o en redes sociales, aunque sean de contactos conocidos.
- No olvide realizar copias de seguridad.
Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.
Lecturas recomendadas:
- Caso real: fraude a través de correo electrónico
- ¿Tu empresa ha sido víctima de un incidente? Repórtalo
- Historias reales: «Soy tu nueva factura y te voy a secuestrar el ordenador»
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.
Si necesita soporte o asistencia, INCIBE ofrece servicios de Respuesta y Soporte.
Detalle:
Un empleado o autónomo podría recibir en su correo con un mensaje que parece ser una comunicación oficial de la Agencia Tributaria española con un texto que le informa de que se le va a efectuar un «reembolso de impuestos», para lo cual se le pide hacer click en un enlace que viene incluido en el propio texto del correo electrónico.
El mensaje podría tener el siguiente aspecto:
Utilizando un reclamo como el del supuesto asunto: «reembolso de impuestos» o «pago de sanción», el usuario pincha en el enlace y es dirigido a un sitio web que simula ser una página de la Agencia Tributaria española.
La falta de precisión del lenguaje del mensaje debería hacernos sospechar.
Además podemos fijarnos si, al situar el ratón sobre el enlace, aparece una dirección web fraudulenta con características que nos deberían hacer desconfiar:
- Si tiene un indicativo de dominio distinto de «.es» que es el que corresponde con la Agencia Tributaria www.agenciatributaria.es.
- Si utiliza un nombre similar al oficial, con errores ortográficos o caracteres de más en su denominación.
Si seguimos el enlace puede aparecer un formulario diseñado para robar los datos identificativos de la tarjeta de crédito del usuario. Este es otro elemento clave que nos debería hacer sospechar que se trata de un fraude: nos informan que vamos a recibir dinero (un reembolso) pero, sin embargo, nos solicitan los datos de la tarjeta de crédito (que es un medio de pago).
Fuente: Incibe