Comienza el plazo para la presentación por internet de la declaración de la renta. Algunos contribuyentes ya han podido consultar online sus datos fiscales a través de la aplicación móvil y la sede electrónica de la Agencia Tributaria. Esta práctica de realizar determinados trámites por internet hace que no resulte extraño para los usuarios recibir mensajes sobre estos temas y asumirlos como legítimos. Sin embargo, desde Proofpoint advierten que los ciberdelincuentes están altamente especializados en crear señuelos convincentes por email, llamadas telefónicas o mensajes de texto para estafar a personas. Aprovechan cualquier vía de contacto para lanzar sus ataques que, en momentos como la campaña de la renta, pueden multiplicarse y resultar más efectivos.
Desde principios de año, los investigadores de Proofpoint han identificado un aumento de campañas y dominios maliciosos que se hacen pasar por agencias tributarias y organizaciones financieras relacionadas. Por lo general, los señuelos de phishing se aprovechan de los temas fiscales, haciéndose pasar por organismos gubernamentales u organizaciones financieras con los que los usuarios contactan para declarar impuestos o presentar documentación relevante.
Recientemente, se han identificado acciones dirigidas a organizaciones que utilizan solicitudes de pago fraudulentas a través de plataformas legítimas como Revolut, eludiendo el robo de credenciales tradicional. Los atacantes intentan proteger su infraestructura al máximo y evadir la detección. También utilizan direcciones de remitente y URLs genéricas, dificultando a los usuarios la identificación de los mensajes maliciosos.
Según los expertos, estos correos electrónicos fraudulentos sirven para distribuir una gran variedad de cargas útiles de malware, como Rhadamanthys, zgRAT, MetaStealer, XWorm, AsyncRAT y VenomRAT, a menudo a través de cadenas de infección de varias etapas.
“El tema fiscal siempre es un reclamo popular para ciberdelincuentes en todo el mundo, especialmente durante la declaración de la renta. Proofpoint ha detectado un aumento de estos contenidos con fines maliciosos a principios de año, cuando es la temporada fiscal en Reino Unido y Estados Unidos”, comenta Selena Larson, analista sénior en inteligencia sobre amenazas de Proofpoint. “Suele ser un señuelo eficaz, porque combina la urgencia de seguir unos plazos concretos con otras amenazas como tasas adicionales o impagos, y la gente se siente más obligada a responder cuando el contenido procede una autoridad gubernamental”.
Estas campañas no se limitan a una sola región, sino que afectan a organizaciones y personas de todo el mundo. Para reducir el riesgo de éxito de estos ataques, Proofpoint recomienda:
- Formar a los usuarios para que detecten y denuncien los mensajes de correo electrónico, SMS e incluso códigos QR maliciosos, además de identificar a las personas que son especialmente vulnerables. Esta concienciación debe tener en cuenta las tendencias de ataque del mundo real y la información más reciente sobre amenazas.
- Prestar atención a las técnicas habituales de ciberdelincuentes, como la suplantación de dominios e identidades, el uso de un lenguaje insistente y urgente, la redirección a sitios web que no son propiedad oficial de las entidades suplantadas y la solicitud de pagos a aplicaciones o sitios web de terceros. Si se conocen estas tácticas y se mantiene la vigilancia, las personas pueden reducir significativamente la probabilidad de ser víctimas de ataques, protegiendo su dinero y su información confidencial.
- Asumir que algún usuario acabará haciendo clic en alguna amenaza. Los atacantes siempre encontrarán nuevas formas de explotar la vulnerabilidad humana. Por eso, las organizaciones necesitan soluciones que bloqueen las amenazas por correo electrónico entrante antes de que lleguen a la bandeja de entrada. Esta solución debe analizar tanto el email externo como interno, puesto que los ciberdelincuentes pueden utilizar cuentas comprometidas para engañar a usuarios dentro de la misma organización. Asimismo, el aislamiento web puede ser una salvaguarda crítica para URLs de riesgo.
- Gestionar el acceso a datos confidenciales y las amenazas internas, así como conceder los niveles adecuados de acceso a los usuarios y a las aplicaciones complementarias de terceros en función de los factores de riesgo.
- Asociarse con un proveedor de inteligencia sobre amenazas ayuda a detectar nuevas herramientas de ataque, tácticas y objetivos para aprender de ellos.
