Jesús de Baldomá

En estos últimos días se han dado a conocer dos nuevos casos de phishing que, en algún sentido, son ligeramente distintos de los conocidos hasta ahora.

Básicamente, los mensajes de correo tradicionales intentaban lanzar el cebo para hacer picar a incautos lectores utilizando falsificaciones de páginas web de bancos reconocidos (Banesto, Caja Madrid, etc.). Sucede que no todos los usuarios son clientes de ese o aquel otro banco; con lo que la efectividad de la campaña de mensajes fraudulentos se ve francamente limitada por esa razón.

¡Habrá que inventar algo nuevo! Y a ello se han dedicado esos “pescadores”. Se han dedicado a buscar algo que tengan en común el máximo número posible de ciudadanos … y lo han encontrado:

La Agencia Tributaria

Acabo de recibir un mensaje que parece venir de la Agencia Tributaria. El texto que contiene es el siguiente:

RESOLUCIÓN de 29 de enero de 2006, de la Dirección General de la Agencia Estatal de Administración Tributaria, por la que se aprueban las directrices generales del Plan General de Control Tributario 2006.(B.O.E. 03-02-2006)

Por favor Nota: Después de los cálculos anuales pasados de su actividad fiscal nos hemos determinado que usted es elegible recibir una devolución fiscal desde 90€

Someta por favor la petición de la devolución fiscal y en un plazo de 6-9 días se la vamos a procesar.

Un reembolso se puede retrasar para una variedad de razones. Por ejemplo sometiendo expedientes invalidos o aplicándose después del plazo.

Para tener acceso a la forma para su devolución fiscal, Pulse aquí

El Plan General de Control es el instrumento básico de planificación de la Agencia Tributaria en el que se realiza la previsión cuantitativa y cualitativa de las actuaciones que en el ámbito de control tributario y aduanero se van a realizar durante el año. Con este Plan se da cumplimiento a la obligación que establece la Ley General Tributaria en su artículo 116 de elaborar anualmente un plan de control tributario.

Madrid, 27 de enero de 2006.–El Director General, Luis Pedroche y Rojo.

Aqui se puede ver una captura de pantalla para que se vea que se ha cuidado hasta el logo.

El enlace lleva a esta página (http://www.aeats.eu/es/wps/portal/pas.php?…), muy similar a la original (http://www.aeat.es/) tanto en la URL como en el contenido, con la salvedad de que lo primero que se aprecia en la página falsa es un formulario que referencia a la devolución a la que se hace mención en el mensaje de correo y que nos pide datos personales, incluyendo el número de tarjeta de crédito:

No se puede negar que esta vez, los timadores se lo han currado: ambas páginas tienen al pie un logotipo que informa de que la web está programada conforme al nivel de accesibilidad web WAI-A del W3C (aunque ninguno de los dos —ni el original ni la falsificación— validan el código). Tan chapuzas los unos como los otros.

El Instituto Nacional de Estadística

Este caso, además, nace con una polémica acusación por parte de algun medio de que es el propio Instituto Nacional de Estadística (INE) quien está realizando el Phishing (eso es desconocer el funcionamiento del phishing). Para conocer los detalles de la polémica, se puede consultar este artículo de MalaPrensa.

En este caso, como es habitual, Suplantan la imagen del INE para robar datos de usuarios, donde se solicitan datos personales, correo electrónico, numero de teléfonos y entidad bancaria que usa el cliente. El intento de robo se produce tras la recepción de un correo electrónico que simula ser enviado por Instituto Nacional de Estadísticas en el nos comunica el siguiente mensaje:

Si se pulsa sobre el enlace, se nos manda a una web trampa que no tiene relación alguna con el INE y donde, como no, se nos acaba pidiendo información sobre los datos bancarios

En el formulario trampa nos solicita todos nuestros datos incluido nuestra entidad bancaria.

El listado de entidades bancarias son las siguientes: Banco Atlántico,Caja Madrid, Caja De Guadalajara, Banco Asturias (Sabadell), Banco Santander, Bancoval, Banco de Valencia (Bancaja), Banco Esfinge, Banco Etcheverría, Banco Guipuzcoano, Banco Sabadell, Banco Zaragozano, Banco BSCH, Banco Herrero, Banco Inversión, Bancofar, Bankinter, Bankoa, Bankpime, Banco Popular, Banesto, BBVA, Barclays, eBankinter, Uno-e, Patagon, Activo Bank, Caixa de Catalunya, La Caixa, BBK, Otros

Una vez facilitados los datos nos envía a la web, esta vez sí, oficial del Instituto Nacional de Estadísticas.

Fuentes: Penas del Agente Smith y Asociación de Internautas.