Sobre la campaña de smishing que suplanta a la Agencia Tributaria
La Policía ha alertado de una nueva campaña de smishing en España en la que se suplanta la identidad de la Agencia Tributaria con el objetivo de sustraer a la víctima sus datos bancarios.
Luis Corrons, Security Evangelist de Avast, nos ofrece las siguientes declaraciones al respecto:
El smishing es un tipo de ataque de phishing que llega en forma de mensaje de texto o SMS. Habitualmente, estos ataques piden a la víctima que realice alguna acción inmediata a través de enlaces maliciosos en los que hay que hacer clic o números de teléfono a los que hay que llamar.
Cuando el usuario recibe el mensaje, hace clic en él y es redirigido a una página que supuestamente se trata de la Agencia Tributaria. De esta forma, genera confianza para que la víctima del ataque introduzca los datos de su tarjeta de crédito, incluyendo el CCV y el código pin. Finalmente, se solicita la introducción de un código que supuestamente se recibirá a través de un SMS (aunque la víctima nunca lo recibe), o abriendo la aplicación del banco, desde el propio teléfono, donde se supone que se recibirá una notificación del reembolso.
Desde Avast recomendamos a los usuarios que eliminen estos SMS. Los usuarios que tengan dudas sobre si un mensaje recibido es real o falso, deberían no hacer clic en ningún enlace o adjunto. En su lugar, deben ponerse en contacto directamente con su banco o con la empresa de la que parezca provenir el mensaje, visitando su página web y utilizando la información de contacto que aparece en la misma. Además, alertamos de que se pueden observar detalles que demuestran que se trata de una estafa: enlaces acortados, solicitud de información personal, mensajes escritos incorrectamente, sentimiento de urgencia....
Algunos consejos para protegerse de este tipo de amenazas son:
- No hacer clic en ningún enlace, sin antes verificar la identidad del remitente
- No abrir archivos adjuntos de remitentes desconocidos
- Proteger tus contraseñas y no compartirlas con nadie
- No brindar información confidencial a nadie
- Mantener el dispositivo actualizado y con parches de seguridad
Si un mensaje parece demasiado bueno para ser verdad o tiene un tono alarmista, recomendamos ponernos en contacto directo con la empresa o institución que supuestamente lo envía para verificar su identidad.