El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado de que ha detectado una campaña fraudulenta (phishing) a través de e-mail simulando correos procedentes de la Agencia Tributaria. También se ha detectado recientemente correos electrónicos fraudulentos que suplantan a la entidad bancaria BBVA, y que tienen por objetivo es dirigir a la víctima a una página falsa (phishing) que simula ser la web legítima del banco para robar sus credenciales de acceso.

Nueva campaña de correos fraudulentos suplantan a la Agencia Tributaria

Se ha detectado una campaña de envío de correos electrónicos fraudulentos que suplantan a la Agencia Tributaria. Este falso e-mail, informa al que lo recibe sobre un supuesto reembolso económico, proporcionando un enlace a una web con un formulario, cuyo fin es obtener sus credenciales, información personal y datos  bancarios.

El correo detectado que suplanta la identidad de la Agencia Tributaria se identifica con el asunto “Nuevo mensaje || [Código Numérico]”. En dicho correo se comunica al destinatario que le corresponde un reembolso de 350.16 € tal y como se muestra a continuación:



Si se hace clic en el enlace incluido al final del correo, se redirige a una página web que suplanta la web legítima de la Agencia Tributaria (fraude de tipo phishing). Esta página no dispone de ningún certificado digital, aunque el formulario que muestra, para engañar al usuario, indique que sí se trata de un sitio seguro.


Este formulario solicita al usuario datos personales, financieros (tarjeta bancaria) y credenciales de acceso de la Agencia Tributaria (usuario y contraseña).
Tras introducir estos datos y una vez pulsado el botón “Entrar”, la página mostrará el siguiente mensaje: ”Por favor, espere mientras procesamos su solicitud. Por favor, espere y no cierre la ventana”.

Al cabo de unos segundos, la página se refresca y muestra un mensaje por pantalla en el que se indica a la víctima que se le ha enviado un SMS con el fin de que incluya este código de confirmación una vez lo haya recibido.

Según ha informado la Oficina de Seguridad del Internauta (OSI), una vez se abre el correo surge el verdadero gancho para dirigir al usuario a la falsa web y, por lo tanto, hacerse con sus datos. Todo bajo la información de que la falsa Agencia Tributaria le tiene que hacer un reembolso de más de 300 euros.

Fuentes:
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/nueva-campana-correos-fraudulentos-suplantan-agencia-tributaria

Google lanza un cuestionario para ayudarte a detectar y evitar los correos Phishing

Jigsaw, la incubadora tecnológica de Google, lanzó una herramienta que pone aprueba tu habilidad para identificar ataques de phishing. Su objetivo es que las personas tomen consciencia de la gravedad del problema.

Google ha presenta un cuestionario-test que ayuda a detectar y evitar los correos Phishing. Consiste en lanzar una serie de preguntas para ver cómo de capacitado está un usuario para detectar mensajes de este tipo. Una manera de poner a prueba los conocimientos defensivos.



Para acceder a este cuestionario de Google y poner a prueba los conocimientos sobre Phishing tenemos que entrar en la página. Hay que tener en cuenta que, al menos de momento, solo está disponible en inglés. Tenemos que darle a iniciar test y ponemos nuestro nombre y el e-mail (no tienen que ser verdaderos). Deberás mirar en los detalles del e-mail (para ver el remitente), pasar por encima del enlace para ver dónde apuntan los links, etc)

• https://phishingquiz.withgoogle.com/

Una vez comienza, nos irá mostrando diferentes correos. Tendremos que seleccionar si se trata de un intento de ataque Phishing o es legítimo. Junto a cada mensaje nos muestra información para tener en cuenta. Por ejemplo la dirección de e-mail, el cuerpo del propio mensaje y otros aspectos que podrían determinar si se trata de un correo Phishing o es legítimo.


El cuestionario, compuesto por ocho retos, invita a los usuarios a señalar si el correo expuesto es legítimo o falso. En caso de no acertar, la web indica cuáles son las características para reconocer la trampa. Esta herramienta fue realizada tomando como referencia la capacitación en seguridad que realizaron con 10,000 periodistas, activistas y líderes políticos.

Como ejemplo usan el ataque masivo a los usuarios de Google Docs en 2017, o el correo electrónico usado por hackers rusos para espiar la campaña electoral de Hillary Clinton en 2016. "El phishing es, por mucho, el ataque cibernético más común. El uno por ciento de los correos electrónicos enviados hoy son intentos de phishing", asegura la empresa.