Vuelve el phishing de la Agencia Tributaria, ahora con un aviso de notificación postal

Entre las administraciones públicas más suplantadas por los delincuentes durante los últimos años, la Agencia Tributaria destaca por haber sido protagonista de numerosas campañas desde hace varios años. No es de extrañar, pues, que cada cierto tiempo veamos correos haciéndose pasar por este organismo y que tratan de robar datos privados de los usuarios tal y como vemos a continuación.

Aviso de notificación postal

En esta ocasión, los delincuentes han optado por copiar directamente la plantilla oficial que se envía desde la Agencia Tributaria legítima para informar a los contribuyentes de que tienen una notificación postal que también pueden consultar desde la Dirección Electrónica Habilitada Única. Dentro del correo vemos dos enlaces que, a primera vista, podrían parecer legítimos, pero si ponemos el cursor encima de ellos, comprobaremos que redirigen a un dominio que nada tiene que ver con la Agencia Tributaria.

Este enlace, de hecho, no es el destino final al que accede el usuario, sino que se produce una redirección a una web con una URL parecida a la legítima pero con dominio de la India. Este dato debería ser suficiente para sospechar de la web a la que somos redirigidos, pero muchos usuarios tan solo verán logotipos oficiales y una página muy parecida a lo que esperan encontrarse, y es probable que rellenen los datos solicitados por los delincuentes.

Si revisamos la información del domino usado por los delincuentes comprobaremos de forma definitiva que se trata de una web fraudulenta, ya que solo cuenta con 26 días de antigüedad y la IP donde se aloja está, supuestamente, en Rusia. Esta información, pública y sencilla de obtener, nos puede servir para despejar dudas cuando estemos ante un dominio sospechoso o tengamos dudas antes de introducir nuestros datos en un formulario.

Algunos usuarios que lleguen a esa web fraudulenta podrían pensar que no van a tener ningún problema, puesto que esta muestra el candado de seguridad. Hay que recordar que este candado tan solo certifica que la comunicación entre nuestro dispositivo y dicha web es segura, no que la web lo sea, por lo que es algo común que los delincuentes que se dedican a preparar webs de phishing añadan estos certificados usando, por ejemplo, servicios gratuitos como Let’s Encrypt en este caso.

Vemos que el certificado se colocó a la web fraudulenta hace tan solo dos días, por lo que es muy probable que esta campaña siga activa en busca de nuevas víctimas. Sobre la finalidad de los delincuentes, al solicitar únicamente una dirección de correo electrónico y una contraseña no queda claro del todo si lo que quieren es robar credenciales de acceso usadas para operar con la Agencia Tributaria o si esperan que los usuarios se confundan e introduzcan la contraseña de su correo electrónico.

En cualquier caso, una vez rellenados estos campos y para no levantar demasiadas sospechas, se redirige a la víctima a la web legítima de la Agencia Tributaria.

Resulta curioso que los delincuentes no aprovechen esta campaña para tratar de robar datos relacionados con métodos de pago como tarjetas de crédito, sabiendo que es algo que se ha realizado numerosas veces cuando se ha suplantado a la Agencia Tributaria, pero no descartamos que se trate de una campaña aún en desarrollo y que en los próximos días veamos cómo vuelven a propagarse correos maliciosos que redirigen a webs fraudulentas más completas.

Conclusión

El ejemplo que acabamos de ver demuestra que los ganchos potentes siguen siendo muy útiles a la hora de conseguir nuevas víctimas, y más si tienen relación con dinero. Por ese motivo es importante fijarse en todos los detalles antes de pulsar sobre un enlace o abrir un fichero, por mucho que el remitente nos parezca de confianza, y contar con soluciones de seguridad capaces de bloquear las amenazas si pulsamos donde no debemos.

Josep Albors