El phishing, a pesar de que es un método muy rudimentario y sencillo, es capaz de obtener grandes cantidades de dinero si llega a usuarios que se creen el email que están recibiendo. Ahora, tal y como alerta la propia Agencia Tributaria y la OSI, un nuevo email de phishing está haciéndose pasar por Hacienda afirmando tener listo un reembolso de dinero para nosotros.
Una campaña de phishing intenta hacerse pasar por Hacienda
El email es enviado por la dirección de correo electrónico agente@agenciatributaria.com. Aunque lo parezca, no es real. En el cuerpo del mensaje se avisa al usuario de que le “coresponde» un reembolso equivalente a 384,56 euros, y le invita a pinchar en un link justo debajo. El mensaje no emula a otros correos electrónicos de la Agencia Tributaria, sino que simplemente es un texto normal y corriente, lo que unido a las faltas de ortografía lo hace aún más sospechoso.
Sin embargo, si presionamos en el enlace, sí que descubriremos que lleva a la página web eagenciatributaria.com/login (no entréis). Esta página web es falsa (nada más hay que ver el nombre erróneo), pero su apariencia es casi idéntica al de la Agencia Tributaria real. En el momento en el que se descubrió el email de phishing la web contaba con un certificado SSL emitido por la autoridad Go Daddy que hacía a la web tener HTTPS. Sin embargo, si ahora entramos a la web falsa éste no aparece, por lo que ha sido revocado (probablemente tras denunciarlo la Agencia Tributaria).
Esta página pide en un principio datos como nuestro DNI y la fecha de nacimiento. Cuando le damos a enviar, aparece un segundo formulario en el cual piden los datos de la tarjeta de crédito: número, fecha de vencimiento, CSC, junto con un número de teléfono. Cuando se han introducido los datos (los cuales están en manos del atacante), la página redirige a la web real de la Agencia Tributaria para hacer creer al usuario que se encuentra en el dominio real.
Como siempre, en este tipo de casos recomendamos que nunca abráis los enlaces que recibís en el correo electrónico. Ya sea para ver una factura o para entrar en la web de la AEAT, lo mejor es que siempre entréis vosotros manualmente desde el navegador a la dirección o que la busquéis en Google. Además, debéis desconfiar de cualquier email en el que se exija o dé dinero y para ello pidan una tarjeta de crédito o cualquier tipo de dato personal.