Phishing en la Agencia Tributaria

¿Qué ha pasado?

Alguien recibe un mail de la Agencia Tributaria diciendo que tiene una devolución de dinero y que tiene que poner sus datos de la tarjeta de crédito.

El formato y dirección de la web parecen los auténticos de la Agencia Tributaria, pero no lo son.

Pinchando en el formulario el usuario es llevado a la página falsa y sus datos son robados.

Nada nuevo, pero si el tema de atcar a un organismo público

El tema del phishing viene pasando desde hace años. Es una técnica para robar datos de usuarios. El problema es que cuando atacan a un organismo como la Agencia Tributaria, da la sensación de que nada está seguro.

El tema no tiene muchas soluciones. Las políticas adaptadas normalmente son las que la Agencia Tributaria muestra en su página. No enviar e-mails a los usuarios y no aceptar el cobro o pago por tarjeta de crédito.

Quizás suene un poco a vuelta a las cavernas… pero la seguridad en este caso es prioritaria y hace que la agilidad que podría proporcionar el medio digital, se vea frenada.

La seguridad de un dominio más claro

Quizás si merezca la pena mencionar que dominios con términos más claros podrían ayudar.

Que la Agencia Tributaria tenga por dominio (entre otros) http://www.aeat.es no ayuda precisamente.

Si la Agencia Tributaria utilizase únicamente www.agenciatributaria.es algo de claridad se podría ganar de cara al usuario. Esta claro que el spammer siempre podría meter un guión o un S aquí y alla (www.agenciatributarias.es o agencia-tributaria.es) pero algo de seguridad se podría ganar respecto al caso del AEAT (o era EAET).

Hemos hablado con Panda Software para saber algo más sobre el phishing y aportar algunas soluciones

1. ¿Qué es el phishing?
El phishing es un tipo de malware que tiene como objetivo hacerse con información de los usuarios de forma fraudulenta. Para lograr ese objetivo, el estafador se dedica a enviar mensajes de forma masiva -generalmente a través de correo electrónico, aunque se han dado casos que utilizan otros canales como la mensajería instantánea- a la pesca de los clientes de algún banco o servicio online. Para ganarse la confianza del usuario, estos mensajes simulan proceder de una empresa, banco o institución de confianza y en ellos se invita al usuario a acceder a una determinada página que suele ser muy parecida a la del servicio real. En ellas se pedirá a ese usuario que introduzca datos confidenciales como números de cuentas bancarias, contraseñas o PINs. Una vez lo haga, el delincuente podrá utilizar esos datos para quedarse con el dinero del usuario.

2. Es el caso de phishing de la agencia tributaria normal? ¿Ocurre mucho?
No es normal en el sentido de que, habitualmente, los correos fraudulentos de este tipo suelen proceder de bancos o de supuestas tiendas online, no tanto de organismos oficiales. Pero, por lo demás, tampoco aporta nada nuevo a la técnica del phishing ni a la tendencia actual. La idea es la misma: Sustituir a un emisario de confianza de manera que un usuario confiado facilite datos confidenciales que puedan servir al estafador para robarle el dinero.

Respecto a si ocurre mucho o no, hay que decir que esta técnica es hoy bastante habitual y son muchos los correos de phishing, de todo tipo que están circulando en la actualidad. De hecho, de las técnicas más extendidas y los estafadores no dejan de buscar nuevas formas de explotarla. El caso de la agencia tributaria es, en este sentido, una vuelta de tuerca más, aunque no suponga un cambio muy radical.

3. ¿Qué acciones pueden tomar los propietarios de la web para prevenir estos problemas?
Desde los bancos ya se llevan años tomando medidas. La principal y fundamental es la de advertir a todos sus clientes que no atiendan a ninguna petición que les llegue por correo electrónico y en la que se les pidan claves o contraseñas. Además, cuando se trata de transferencias online de dinero, muchos de ellos solicitan un segundo password a los usuarios. Igualmente, casi todos los grandes bancos cuentan ya con los servicios de compañías de seguridad que se dedican en exclusiva a detectar, perseguir y denunciar todos aquellos sitios web que son utilizados en estos caso de estafa, así como a advertir a usuarios y medios de los diferentes correos que simulan proceder de sus clientes y que están circulando por la red.

4. ¿Qué acciones pueden tomar para solventar el problema si ocurre?
En ocasiones los bancos devuelvan el dinero a los afectados. Hace poco, hubo un caso en Suecia en el que varios clientes perdieron un total de 800.000 euros y el banco les devolvió el dinero. En principio, los responsables son los usuarios, pero los bancos suelen devolver el dinero.

En cualquier caso, si hemos sido víctimas de una estafa de este tipo, lo primero es ponerlo en conocimiento de las autoridades y de la entidad financiera. Ellos también podrán orientarnos sobre los siguientes pasos que debemos dar.

5. ¿Qué pueden hacer los usuarios para prevenir este problema?
Lo primero a tener en cuenta es que su entidad bancaria nunca se va a poner en contacto con usted por medio del correo electrónico para pedirle ningún tipo de contraseña. Los mensajes de correo electrónico que reciba solicitándole datos o con un enlace que le lleve a una página donde le sean solicitados, bórrelos directamente, ya que es muy probable que se traten de mensajes fraudulentos.

Asegúrese de que la página Web que está visitando es realmente la de la entidad bancaria que deseamos. Hay que observar el dominio de la página para comprobar que no hay ningún tipo de variación con el correspondiente al dominio real de la entidad. Además, asegúrese de que está realizando una conexión segura. Para ello, debe observar que se encuentra en pantalla el dibujo del candado cerrado que nos indica la seguridad de la conexión, y que la URL comienza con las letras https. También, en caso de duda, se puede comprobar que la certificación de la Web sea válida, haciendo doble clic en el candado.

Otra forma de asegurar la conexión en el sitio Web real de la compañía es escribiendo directamente en el navegador la dirección de la entidad a la que deseamos acceder, no a través de hipervínculos que puedan estar dirigidos a sitios Web fraudulentos que permitan el robo de datos.

Si después de comprobar todo esto aún existen dudas, siempre podemos asegurarnos de los pasos que podemos dar online con una llamada telefónica a la entidad bancaria.

Además, la revisión periódica del extracto de las cuentas bancarias sirve para cerciorarse de que no han existido movimientos irregulares de activos en su cuenta, que podrían haber sido provocados por un ataque de phishing. Si observa operaciones desconocidas e irregulares en su extracto, la mejor solución es contactar con la entidad bancaria con la que se han realizado las transacciones, de modo que se pueda detallar en qué han consistido las mismas.

6. ¿Qué está haciendo PandaSoftware en esta área? ¿Colabora con al administración?
Panda tiene incorporadas en sus productos tecnologías para detectar phishing desde hace años. En nuestra página web se puede encontrar abundante información sobre el tema del phishing. Además, Panda forma parte del APWG (AntiPhishing Working Group) una organización creada para luchar contra el phishing y el fraude on-line.

Panda Software tiene un blog sobre temas de seguridad.

Deja un comentario