Advertencia en la web de 'Mi Carpeta Ciudadana'. - GOBIERNO DE ESPAÑA.
MADRID, 17 Mar. (Portaltic/EP) -
ESET ha detectado una campaña de 'phishing' para robar datos personales y credenciales bancarias tras suplantar 'Mi Carpeta Ciudadana', el portal del Gobierno para acceder a los trámites administrativos.
Las víctimas reciben un correo en el que se les comunica que se les ha concedido un abono y que para reclamarlo deben acceder al área personal del portal 'Mi Carpeta Ciudadana'.
"Tras una revisión exhaustiva, se ha desterminado que, de conformidad con las decisiones de las autoridades competentes, tiene derecho a un importe de euro283,70 (para ciudadanos) o euro541,30 (para empresas), que ya está disponible para usted", se puede leer en el correo, compartido por la empresas de ciberseguridad ESET.
Tras pulsar en el enlace del correo, se les redirige a una web fraudulenta que copia el estilo y los logos de la página oficial. No obstante, ESET ha destacado que el dominio no tiene nada que ver con el Gobierno y que está registrado en la Isla de Man (Inglaterra).
Sin embargo, los usuarios pueden confiarse cuando ven el candado de seguridad con el certificado legítimo, pero desde la compañía de seguridad han matizado que esto solo garantiza que la comunicación entre el dispositivo y la web está cifrada, no que la página sea segura.
Cuando la víctima accede a la web y selecciona entre ciudadano o empresa, le aparecen una serie de páginas consecutivas en las que se le solicitan datos personales como nombre, dirección postal, teléfono o DNI. Aunque esta información puede resultar útil para futuros ataques, los delincuentes buscan principalmente el acceso a las cuentas bancarias.
Para obtener estos datos, los delincuentes convencen a las víctimas de que tienen que aportar el número IBAN de la cuenta a la que quieren que se les envíe el ingreso de la cantidad adelantada en el correo electrónico.
Una vez facilitado el IBAN, se genera un nuevo paso en el que se pide al usuario introducir la contraseña de acceso al servicio de banca 'online'. Llegados a este punto, los delincuentes ya tienen los datos necesarios para entrar, revisar el saldo y tratar de realizar una transferencia a una cuenta.
No obstante, muchos usuarios tienen habilitado un código de verificación para las transferencias que les llega al teléfono móvil para autorizar cualquier movimiento. En ese caso, los atacantes usan el número de teléfono facilitado anteriormente para llamarles y pedirles dicho código alegando que es necesario para realizar el abono prometido.
Frente a este tipo de campañas, ESET ha recordado la importancia de saber reconocer los patrones de los delincuentes y contar con soluciones de seguridad capaces de detectar y clasificar como 'spam' los correos fraudulentos. Además, FACUA ha recomendado bloquear al remitente y eliminarlo de la bandeja de entrada si no se ha accedido al enlace.
En el caso de que se haya accedido a la web fraudulenta, las víctimas han de dirigirse a su Línea de Ayuda en Ciberseguridad para recibir asesoramiento personalizado.
Andalucía
Aragón
Cantabria
Castilla-La Mancha
Castilla y León
Catalunya
Extremadura
Galicia
Islas Canarias
Islas Baleares
Madrid
País Vasco
La Rioja
C. Valenciana
Navarra
Asturias
Murcia
Ceuta y Melilla
