El nuevo caso de smishing que está circulando durante los últimos días suplanta al Gobierno y busca que las víctimas proporcionen información confidencial al acceder a una dirección web fraudulenta, apelando a la expectativa de recibir un dinero extra a través de la Declaración Anual de la Renta. Los principales afectados están siendo los usuarios del BBVA, Banco Santander, Caixa Bank y Bankia, y las entidades ya están alertando a sus clientes.
El mensaje de texto indica: “Aún no ha recibido el reembolso anual de impuestos para 2022-2023. Reclama tu devolución de 431,78 euros" y agrega una URL que redirecciona a una página que se supone pertenece a La Moncloa, para iniciar la reclamación de ese teórico reembolso.
La Oficina de Seguridad del Internauta, perteneciente al INCIBE, advierte que esa página web “suplanta a la de La Moncloa con un diseño muy similar a la legítima, aunque en ella solamente se podrá interactuar con la ventana emergente”, cuyo objetivo es alarmar a la víctima indicándole que ya se han enviado dos correos de esta notificación, pero no se ha recibido respuesta, por lo que corre el peligro de que el reembolso termine caducando.
Para sortear la caducidad de este supuesto beneficio, la web fraudulenta muestra varias opciones de entidades financieras, para escoger en cuál la víctima quiere recibir el dinero, aunque sospechosamente en ningún momento se cambia el dominio de la web, "con la finalidad de robar las credenciales de acceso de sus cuentas a las víctimas".
En el caso de que algún incauto introduzca su usuario y clave de acceso a la entidad bancaria con la que trabaja, “las webs mostrarán un mensaje de espera simulando que están accediendo al sitio, pero este nunca cargará”, alerta la OSI. Hecho esto, la víctima habrá habilitado a los delincuentes el acceso a su cuenta bancaria, quienes retirarán todo el dinero disponible, y el prometido reembolso de 431,78 euros, jamás sucederá.
Desde la compañía de ciberseguridad ESET advierten además que “estas campañas de phishing se están realizando mediante kits ya preconfigurados que pueden ser obtenidos fácilmente por delincuentes sin demasiada experiencia, usándose Telegram tanto para la generación del dominio fraudulento como para la exfiltración de los datos robados”.
Ante la recepción de SMS prometedores, es importante recordar
“La Moncloa” no envía SMS, ni es una página desde la que hacer trámites administrativos, sólo sirve como referencia comunicativa del Gobierno.
Tampoco hay administraciones públicas que envíen información por e-mail ni SMS para avisar de reembolsos de impuestos, beneficio que no existe como tal. Ni siquiera la Agencia Tributaria realiza comunicaciones de esta manera.
Nunca introducir los datos de acceso bancarios en ninguna web que no sea la oficial del banco. Una forma rápida de chequear esto es revisar en la barra de direcciones que junto a la URL aparezca el candado que indica que la página es segura y tiene el certificado SSL (Secure Socket Layer). Ante la duda, siempre es recomendable acceder a través de la app móvil.