Los agentes destinados en la Jefatura Superior de Policía procedentes de La Rioja han emitido una alerta acerca de un intento de estafa masiva que se está llevando a cabo a través de SMS dirigidos a los móviles de los ciudadanos españoles en el marco de la Campaña de la Agencia Tributaria.
En una nota de prensa, los agentes explican cómo los ciberdelincuentes se hacen pasar por Hacienda y solicitan a los ciudadanos que hagan clic en un enlace para recibir un supuesto reembolso de impuestos por un valor de 244,79 euros.
En qué consiste esta nueva estafa
Los mensajes en cuestión dicen: «Estás calificado para recibir un reembolso de impuestos. Encuentra tu formulario en el siguiente sitio web». De esta manera, los estafadores están enviando SMS de forma masiva con la intención de estafar a cientos y miles de personas.
Según informa la Policía Nacional, este tipo de estafa se conoce como ‘smishing’ y se trata de una técnica que combina el uso de SMS y ‘phishing’. Los ciberdelincuentes utilizan mensajes de texto para obtener información financiera o acceder de manera remota al ordenador de la víctima.
La principal diferencia entre ambas técnicas de estafa, es que mediante el ‘phishing’, los hackers envían correos electrónicos fraudulentos con la intención de engañar al destinatario para que abra un archivo adjunto con malware o haga clic en un enlace corrupto. Por otro lado, el ‘smishing’ sólo utiliza mensajes de texto.
Estos SMS se reciben en el mismo hilo de mensajes que los SMS legítimos enviados por bancos y/o instituciones públicas. Este aspecto es lo que hace que las víctimas les otorguen una credibilidad que en realidad no tienen, ya que son una estafa.
Este enlace dirige a las víctimas a una página de acceso que es idéntica a la de la entidad bancaria o institución pública, pero en realidad es una página controlada por los ciberdelincuentes.
Cuando se introducen datos de acceso que son propios de la entidad bancaria o institución pública, así como otra información que los estafadores suelen requerir bajo la excusa de resolver problemas de seguridad, lo que en realidad ocurre es que se están facilitando estos datos a los ciberdelincuentes.
Qué ocurre cuando los ciberdelincuentes consiguen los datos robados
En el momento en que los ciberdelincuentes tienen las credenciales, inmediatamente comienzan a realizar operaciones a través de la banca online sin el conocimiento de la entidad bancaria. Para justificar la recepción de mensajes de verificación (2FA) de diversas transacciones, los estafadores afirman que estos códigos son necesarios para resolver los problemas que han sido reportados, instando a las víctimas a proporcionarlos.
Suele ocurrir que la página falsificada dispone de un campo donde las víctimas introducen todos los códigos que los ciberdelincuentes van a utilizar para llevar a cabo operaciones fraudulentas.
Si recibimos este tipo de comunicaciones o somos víctima de alguna de estas estafas, la Policía Nacional recomienda denunciar los hechos en cualquier Jefatura Superior o Comisaría más cercana.