La campaña de la declaración de la renta 2019 aún está vigente y los ciberdelincuentes han aprovechado este hecho y que el que muchos usuarios aún se encuentran teletrabajando, para lanzar una nueva campaña de suplantación de la Agencia Tributaria.
En este caso se trata de una campaña dirigida a los usuarios pero que hace referencia a un problema legal de la empresa. Con esta argucia de ingeniería social, los atacantes prueban a llamar a la curiosidad de los usuarios, valiéndose de la situación actual en la que los trabajadores no tienen cerca a un compañero o responsable al que referir esta información, como podría ocurrir en circunstancias normales en la oficina. Ya avisamos de este posible vector de ataque en nuestro artículo sobre buenas prácticas para un teletrabajo seguro.
Aquí podemos ver con más detalle el mensaje:
Si nos fijamos, el dominio remitente se parece ciertamente a un posible dominio de la AEAT, aunque queda claro que es un dominio totalmente Falso.
Si seguimos analizando, el cuerpo del mensaje incluye el logo oficial y además está bastante bien redactado, en cuanto a faltas de ortografía y signos de puntuación, por lo que no levanta sospecha en este caso.
Sin embargo, hay un punto común que no suele fallar, y es la presencia de un link o enlace sobre el que debemos hacer clic para, en este caso, completar la información. Como ya hemos comentado en muchas otras ocasiones, una muy buena práctica de seguridad es la de evitar pinchar en enlaces contenidos en correos que nosotros no hemos solicitado, ya sea un correo que nos parezca fraudulento o no. Si recibimos una notificación de un problema, lo más seguro es entrar directamente en la página en cuestión tecleando la URL en nuestro navegador y desde ahí revisar las notificaciones de nuestro perfil.
Si colocamos el ratón sobre el enlace, esto es lo que hemos podido ver:
Aquí ya vemos claramente que el dominio no tiene nada que ver con el motivo original del mensaje, y por tanto debemos sospechar de la redirección.
En nuestro caso, aunque al reenviarnos el correo a una dirección protegida por Sophos Email Security, el enlace contenido en el correo ha sido bloqueado por la protección Time of Click (la cual analiza la reputación del enlace en el momento en que se accede a ella), nunca debemos fiarnos. Aunque es importante contar con sistemas de protección para el correo electrónico, es muy importante también aplicar los conceptos de Zero Trust y educar a nuestros usuarios para que aprendan a distinguir los correos fraudulentos por si mismos.
Para mejorar la concienciación de los usuarios, Sophos cuenta con la herramienta de concienciación Sophos PhishThreat, mediante la cual es posible lanzar simulaciones totalmente inocuas, pero que ayudan a los usuarios a “entrenar” y aprender casos reales de phishing que pueden recibir en un momento dado, minimizando de este modo el riesgo a sufrir una infección o una estafa por correo electrónico.
En este vídeo se puede ver cómo crear una campaña con PhishThreat en 5 minutos.
Este artículo ha sido escrito por Ivan Mateos Pascual, Sales Engineer Sophos Iberia
Dejar un comentario