Va dirigido a empresarios, trabajadores y autónomos.

Así es el fraude que usa el señuelo de Inspección de Trabajo y Seguridad Social

442
Inspecciones de trabajo y fraudes a la Seguridad Social, señuelo de una campaña de phishing de la que alerta el INCIBE

Tanto antes de la pandemia del Covid-19 como ahora, se han cometido muchos fraudes e irregularidades en el ámbito laboral: empresarios que han aplicado ERTEs y hacen trabajar a sus empleados gratis bajo la amenaza de despedirlos cuando la situación remonte; hojas de horas firmadas en blanco para que el departamento de personal lo rellene como le plazca; turnos de trabajo dobles que no respetan los horarios de descanso dictados por las autoridades laborales; trabajo en negro, falsos autónomos, bajas por enfermedad de empleados que siguen en el tajo; emplazamientos que no cumplen las más mínimas condiciones de salubridad, deudas en las cuotas de cotización por parte de los autónomos, trabajadores en el paro que reciben ayudas y cobran en B…

Según fuentes relacionadas con el Ministerio de Trabajo y Seguridad Social, el número de fraudes que se cometen contra las arcas del Tesoro en el ámbito laboral es tan elevado como variopinto e imaginativo. Y eso lo saben los ciberdelincuentes,

Es muy fácil que tanto autónomos como empresarios y empleados muerdan el anzuelo

Una campaña de phishing es aquella que se lanza de forma indiscriminada a un enorme sector de la población con un cebo en el que pueden picar muchos individuos. ¿Quién no ha encargado un paquete vía Amazon? ¿Cuantas personas no han comprado alguna vez en Carrefour y esperan recibir un cheque regalo? Pues, desgraciadamente, a estos enormes grupos de la población, víctimas de ciberataques aleatorios, hay que sumarles los miles y miles de personas o empresas que en algún momento han cometido un fraude a la Seguridad Social. Y eso lo saben los ciberdelincuentes.

Según alerta el INCIBE, circula por internet una campaña de correos electrónicos fraudulentos que suplantan a la Inspección de Trabajo y a la Seguridad Social para robar credenciales de acceso a la empresa y otros datos privados. Se utiliza un correo falso para luchar contra el fraude a la Seguridad Social para cometer un fraude cibernético.

Según informa Europa Press, el objetivo de estos correos, que pueden afectar a empleados, autónomos y empresas, es que se descargue un adjunto que, en realidad, es un ‘malware’ que podría hacerse con datos personales de banca electrónica o administración.

Los remitentes identificados siguen este patrón: “Inspección de Trabajo hh:mm xxx@itss.com”, donde hh:mm es la hora en la que se ha enviado dicho correo y xxx una serie de caracteres del remitente. El asunto identificado es: “Denuncia Oficial XXX, se inició una investigación contra su empresa”, donde XXX es un código alfanumérico de entre 6 y 7 caracteres, aunque no se descarta que usen otros asuntos.

El correo de la campaña de phishing de la que alerta el Incibe

En el correo se advierte al destinatario que la empresa ha sido incapaz de adaptarse y de respetar la legislación vigente, por lo que ha sido denunciada. En el cuerpo del mensaje se insta a la víctima a descargar un documento adjunto para visualizar estas denuncias. Las víctimas creen que han sido objeto de denuncia de Inspección de Trabajo o fraude a la Seguridad Social.

Este documento es una hoja excel con una macro que al habilitarla descarga un troyano capaz de robar credenciales del equipo del usuario, así como su historial de navegación, entre otro tipo de información sensible.

En caso de que el usuario lo descargue, el Incibe recomienda desconectar el equipo de la red interna de la empresa y utilizar una alternativa. Además, es recomendable realizar un escaneo con el antivirus y seguir las instrucciones marcadas por el mismo para eliminar el malware.

Para evitar ser víctima de este tipo de engaños, se recomienda no habilitar la edición de contenido a no ser que se esté seguro de que el archivo es legítimo; no abrir correos de usuarios desconocidos y eliminarlos directamente; no contestar en ningún caso; revisar los enlaces antes hacer clic aunque sean de contactos conocidos; o desconfiar de los enlaces acortados.