Phishing a la Agencia Tributaria: Cómo identificar y evitar las estafas online
¿Qué ha pasado?
Como muchos saben, la Agencia Tributaria es el organismo encargado de la recaudación de impuestos en España, y es responsable de mantener la información financiera de los ciudadanos y las empresas del país.
Desafortunadamente, la agencia se está siendo afectada por un ataque de phishing que ha puesto en riesgo la privacidad y la seguridad de miles de contribuyentes. En esta entrada, analizaremos los detalles del ataque, cómo se llevó a cabo. Así que si estás interesado en la seguridad informática y quieres mantener tu información segura, sigue leyendo para descubrir lo que necesitas saber sobre este ataque de phishing a la Agencia Tributaria.
Vector de ataque
Todo se inicia con un correo electrónico. Este correo electrónico emula perfectamente un correo licito de la agencia tributaria. Que, en estos momentos en plena campaña de 347, tiene a todos los departamentos administrativos de las empresas “locos”.
Este correo contenía un enlace a la siguiente dirección:
Esta dirección realiza un reenvió a la siguiente dirección:
Al revisar el formulario, nos damos cuenta de que este ataque está muy bien realizado, ya que si ingresamos datos incorrectos, realiza la validación directamente contra el sitio web de la Agencia Tributaria. Si los datos no son correctos, no nos deja continuar.
Sí, lo has leído bien: la tercera parte del dominio es agenciEtributaria.es.
Al realizar una búsqueda Whois, vemos que el dominio pertenece a un ASN ruso…
Después de cuatro intentos fallidos de credenciales, los ciberdelincuentes lograron tumbar nuestro servicio. Lo más increíble fue que, delante de nosotros, comenzaron a desmontar todo el entramado.
Nos sustituyeron los enlaces con parámetros para devolvernos a redirecciones 301. ¡Analizando este 301 vemos que nos envían a una URL que se hospeda en el mismo servidor! Ya que estamos… Vamos a ver que más encontramos en el servidor.
¡Un precioso 22! Y un HA Proxy, lo que nos indica que probablemente estemos ante el frontend de algo mucho más grande.
Durante propio análisis forense detectamos…
Si seguimos investigando, descubrimos que los ciberdelincuentes han creado su propio servicio de redirección. Actualmente, los dominios que no tienen los parámetros correctos, que corresponden a los ataques actuales, redirigen al sitio web real de la Agencia Tributaria con un código de error 301. Intentando realizar un análisis del archivo robots.txt, vemos lo siguiente:
Si revisamos el archivo .ico, vemos que se trata del icono de la Agencia Tributaria italiana. Esto nos lleva a pensar que estamos ante una campaña mundial enfocada en las diferentes agencias tributarias.
Protégete!
Si crees que has sido víctima de un ataque de phishing, es importante que lo notifiques a las autoridades competentes y busques la ayuda de expertos en forense digital para analizar la evidencia y tomar medidas para proteger tus datos y sistemas. La prevención y la respuesta temprana son clave para protegerse de los ataques de phishing y minimizar los daños en caso de ser víctima de uno.
En level4 estamos en constante análisis de los principales problemas de seguridad que pueden afectar activamente a nuestros clientes.