Phishing a l'Agència Tributària: Com identificar i evitar les estafes en línia

Què ha passat?

Com molts saben, l’Agència Tributària és l’organisme encarregat de la recaptació d’impostos a Espanya, i és responsable de mantenir la informació financera dels ciutadans i les empreses del país.  

Desafortunadament, l’agència s’està sent afectada per un atac de phishing que ha posat en risc la privacitat i la seguretat de milers de contribuents. En aquesta entrada, analitzarem els detalls de l’atac, com es va dur a terme. Així que si estàs interessat en la seguretat informàtica i vols mantenir la teva informació segura, continua llegint per a descobrir el que necessites saber sobre aquest atac de phishing a l’Agència Tributària.

Vector d'atac

Tot s’inicia amb un correu electrònic. Aquest correu electrònic emula perfectament un correu licito de l’agència tributària. Que, en aquests moments en plena campanya de 347, té a tots els departaments administratius de les empreses “bojos”.

Aquest correu contenia un enllaç a la següent adreça:

Aquesta direcció realitza un va reexpedir a la següent adreça:

En revisar el formulari, ens adonem que aquest atac està molt ben realitzat, ja que si ingressem dades incorrectes, realitza la validació directament contra el lloc web de l’Agència Tributària. Si les dades no són correctes, no ens deixa continuar.

Sí, ho has llegit bé: la tercera part del domini és agencietributaria.es.

En realitzar una cerca Whois, veiem que el domini pertany a un ASN rus…

Després de quatre intents fallits de credencials, els ciberdelinqüents van aconseguir tombar el nostre servei. El més increïble va ser que, davant de nosaltres, van començar a desmuntar tot l’entramat.

Ens van substituir els enllaços amb paràmetres per a retornar-nos a redireccions 301. Analitzant aquest 301 veiem que ens envien a una URL que s’allotja en el mateix servidor! Ja que estem… Veurem que més trobem en el servidor.

Un preciós 22! I un HA Proxy, la qual cosa ens indica que probablement estem davant el frontend d'una cosa molt més gran.

Durante propio análisis forense detectamos…

Si continuem investigant, descobrim que els ciberdelinqüents han creat el seu propi servei de redirecció. Actualment, els dominis que no tenen els paràmetres correctes, que corresponen als atacs actuals, redirigeixen al lloc web real de l’Agència Tributària amb un codi d’error 301. Intentant realitzar una anàlisi de l’arxiu robots.txt, veiem el següent:

Si revisem l’arxiu .ico, veiem que es tracta de la icona de l’Agència Tributària italiana. Això ens porta a pensar que estem davant una campanya mundial enfocada en les diferents agències tributàries.

Protegeix-te!

Si creus que has estat víctima d’un atac de phishing, és important que el notifiquis a les autoritats competents i busquis l’ajuda d’experts en forense digital per a analitzar l’evidència i prendre mesures per a protegir les teves dades i sistemes. La prevenció i la resposta primerenca són clau per a protegir-se dels atacs de phishing i minimitzar els danys en cas de ser víctima d’un. 

En level4 estem en constant anàlisi dels principals problemes de seguretat que poden afectar activament els nostres clients.