Recientemente, se ha detectado una campaña de correos fraudulentos suplantando a la Seguridad Social. Este phishing insta al usuario a pulsar sobre un enlace que redirige a una web donde se descarga un archivo malware que infectará el dispositivo de la víctima si este lo ejecuta. Para ello se utiliza como gancho que existe un impago de una liquidación tributaria.

Recursos afectados

Todo usuario que haya recibido el correo descrito anteriormente pulsado en el enlace y ejecutado el archivo de malware.

Solución

Si has recibido un correo de estas características, pero no has pulsado en el enlace, márcalo como spam y elimínalo de tu bandeja de entrada.

En caso de haber recibido el correo, descargado el archivo, pero no haberlo ejecutado, elimínalo de tu carpeta de descarga lo antes posible. Si quisieras comprobar igualmente si se trata de un malware, puedes hacerlo a través de VirusTotal.

En caso de haber recibido el correo, pulsado en el enlace y ejecutado el archivo que se descarga, es posible que tu dispositivo haya sido infectado. Por ello, te recomendamos seguir estos pasos:

  • Desconecta Internet del dispositivo afectado, así si realmente lo está, no podrá propagar el malware a otros dispositivos conectados a la Red.
  • Ejecuta el antivirus del que disponga tu dispositivo para que elabore un análisis completo y desinfección.
  • Si la infección no ha desaparecido, sopesar la opción de formatear el dispositivo a los valores de fábrica. Esta opción ocasionará la pérdida de todos los datos y los documentos existentes en el dispositivo, por lo que sería recomendable hacer una copia de seguridad de estos.
  • En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.

 

Otras recomendaciones:

  • No pulses en enlaces desconocidos o de los que no estés seguro de su destino, procedentes de un email o SMS. Escribe directamente la URL de la organización en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros, en correos electrónicos o mensajes de texto. En este caso en concreto, deberás acceder a la web oficial de la sede electrónica de la Seguridad Social para obtener información de servicios, trámites y prestaciones en el ámbito de la Seguridad Social.
  • Puedes igualmente contactar con la Seguridad Social a través de sus teléfonos de contacto.
  • Utiliza antivirus y asegúrate de mantener tus dispositivos con el sistema operativos y todas sus aplicaciones actualizadas.

Detalles

Esta campaña de correos fraudulentos suplantando a la Sede Electrónica de la Seguridad Social, se identifica con el asunto ‘Liquidación de impuestos Ultimo aviso’, aunque no se descarta que puedan existir correos con otros asuntos de características similares o incluso campañas de smishing.

El cuerpo del correo informa al usuario de que hay un impago por su parte de liquidaciones tributarias, por lo que proporcionan un enlace para la descarga de este informe generado por el SII. Al pulsar en el enlace, este redirige a la víctima a una web en la cual se descarga un archivo.

Las características a destacar de estos correos son:

  • Las posibles faltas de ortografía, errores de formato y mala redacción del mensaje y asunto.
  • El correo electrónico del remitente no es oficial y puede tener terminaciones como ‘br’ (perteneciente a Brasil) en vez del oficial ‘.es’. Si fuera una web perteneciente a una entidad española, nunca podría finalizar con una extensión perteneciente a otro país. Cuando el dominio, es decir todo lo que continúa tras ‘@’ no es igual al de la entidad oficial (seg-social.es), ya indica que no es fiable.

Esta imagen refleja el correo electrónico fraudulento en el cual se informa al usuario de que debe hacer una liquidación tributaria, adjunto hay un enlace con el cual se descarga un archivo

Al pulsar en el enlace ‘Descargar informe’ se descarga un archivo comprimido .zip, el cual se nombra como ‘ContribuyenteXXXXXXXX.zip’ (donde las XXXXXX aparecen una sucesión de números que puede variar).

En esta imagen se representa visualmente el archivo descargado el cual contiene el troyano

Al ejecutar el archivo, el dispositivo se habrá infectado con un troyano que podría llevar a cabo diferentes procesos fraudulentos.

Fuente: OSI.ES