Es posible que reciba un correo similar a este en el que le advierte que tiene un máximo de 3 días para realizar los trámites correspondientes a una “supuesta” devolución fiscal.

Este, como otros muchos correos de este tipo, son intentos de fraude donde los estafadores intentan recabar sus datos bancarios.



La Agencia Tributaria (AEAT) ya ha advertido de este fraude a través de Internet con el que se pretende recabar datos bancarios de ciudadanos, suplantando la identidad del organismo tributario.
El fraude ya ha sido denunciado, y el acceso a la web fraudulenta ya ha sido bloqueado.



El navegador ya nos advierte que este sitio puede ser una falsificación, pero si hacemos caso omiso de la advertencia, vemos que el acceso ha sido realmente eliminado:

$ GET -e http://mail.oceanic-fruits.com Content-Type: text/plain Client-Date: Thu, 03 Sep 2009 09:29:50 GMT Client-Warning: Internal response 500 Can't connect to mail.oceanic-fruits.com:80 (connect: Conexión rechazada)

El correo enviado bajo la dirección [email protected] anuncia al destinatario un reembolso de impuestos inexistente y, para ello, le remite a una web en la que debe aportar datos de sus cuentas bancarias.



La Agencia Tributaria ha alertado de que "nunca solicita información confidencial, ni números de cuenta, ni números de tarjeta de los contribuyentes mediante correo electrónico".

Este tipo de fraude, que consiste en el envío de email, suplantando la autoría de los mismos, con el fin de conseguir información privada, números de cuentas corrientes y contraseñas de las personas a los que va dirigido se ha hecho muy común en los últimos años, sobre todo en el mundo de la banca online.


Si bien es cierto que este correo ha sido neutralizado, existen muchos otros en funcionamiento. Disponen de funcionalidades más avanzadas.
Los hay desde los que permiten emular una navegación segura, como en el caso del conocido Zeus:
http://blog.s21sec.com/2009/01/nuevas-muestras-de-zeus.html
http://blog.s21sec.com/2009/05/re-deuda-pendiente.html

O incluso los que superponen una imagen a la web, dejando la página real por debajo, pisando únicamente la zona del html.

Un post escrito por Mikel Gastesi habla de ello:
http://blog.s21sec.com/2009/08/detectando-troyanos-bancarios-ojimetro.html


Contra el fraude financiero on line, unos cuantos consejos:

1.- Evite llevar a cabo transacciones financieras en lugares de acceso público (Ciber-Cafés, Universidades, Colegios, Oficinas…).
2.- Compruebe que la navegación es segura y el sitio web bancario transmite su información encriptada por medio del protocolo de seguridad SSL (Secure Sockets Layer)
3.- Compruebe el certificado de autenticidad que asegura la identidad de nuestro Banco.


4.- Nunca las revele a nadie sus claves de acceso ni las anote en lugares visibles o de fácil acceso (pantalla, teclados, ni documentos…)
5.- Use claves aleatorias y cámbielas periódicamente.
6.- Guarde una copia o imprima la información de sus operaciones monetarias.
7.- Apunte y compruebe la fecha de la última vez que accedió a sus movimientos bancarios por Internet.
8.- Asegúrese de cerrar la sesión cuando termine de operar con su oficina virtual.
9.- Borre la caché de su navegador al finalizar la sesión.
10.- Mantenga su antivirus actualizado.
11.- Mantenga el navegador actualizado y los protocolos de seguridad en regla.
12.- Cuando esté accediendo a la Banca por Internet no desatienda sus operaciones distrayéndose con otras cosas. Bloquee o apague el ordenador.
13.- Acceda a los consejos de seguridad que le ofrece su entidad bancaria.
14.- Recuerde que el Banco NUNCA le solicitará a través del correo electrónico sus claves o datos personales.


Normas de Seguridad para una clave perfecta en Internet:

1.- No use claves que sean palabras simples, como nombres comunes, personajes famosos, miembros de la familia, entorno...
2.- No use claves únicamente numéricas.
(Teléfonos, fechas de aniversarios o nacimiento, DNI, números de seguridad social, números de la matricula de su automóvil…)
3.- No comparta sus claves.
4.- No disponga de una única clave común para el acceso a todos sus sitios privados.
5.- Cambie las claves asiduamente.
6.- Piense en una clave que incluya caracteres alfanuméricos (tanto en mayúsculas como en minúsculas), y no alfanuméricos (!,%,&,#...)
7.- Busque una clave que contenga un mínimo de 8 caracteres. Si ésta va a ser usada en una llave de programas de cifrado le recomendamos que entonces sea superior a 20 caracteres.


Enlaces relacionados:
[FONT="][/font]Noticia en RTVE
http://www.seguridadenlared.org
http://seguridad.internautas.org/phishing/html/4311.html
http://blog.s21sec.com/2009/09/tienes-un-email.html

Paula Remírez Ruiz
Vigilancia Digital