El nuevo “aviso de reembolso” de la Seguridad Social es una campaña de phishing

¿Has recibido un correo de la Seguridad Social en el que te piden tus datos para un reembolso? El Instituto Nacional de Ciberseguridad (Incibe) ha hecho pública una nueva suplantación de identidad que afecta a la Seguridad Social y puede poner en riesgo la información bancaria de gran parte de la población española.

Y es que, los cibercriminales se están sirviendo de de una réplica falsa de su página web y correos electrónicos que simulan ser una comunicación oficial de la institución, para robar la información bancaria de los ciudadanos con objetivo de extraer dinero de sus cuentas.

Este método de fraude pese a su sencillez, sigue siendo muy efectivo para los cibercriminales. De hecho, la estafa del falso soporte técnico es una vieja conocida para los usuarios españoles. pero las campañas de phishing se han sofisticado en los últimos años. Tanto que muchas veces solo cambia una letra.

En este caso,  los emails tienen el asunto “Se le envía un reembolso de Seguridad Social” y emplean una dirección de correo que se camufla como una comunicación oficial de este organismo. “La estafa avisa al usuario de que tiene derecho a un pago de la Seguridad Social, y para recibirlo ha de acceder a un enlace que simula ser una dirección web de la sede electrónica de la Seguridad Social, aunque en realidad enlaza a una página fraudulenta”, advierten desde Incibe. “Además, se da al usuario un plazo de tiempo limitado para realizar el supuesto trámite, con la finalidad de acentuar su sensación de urgencia y facilitar el engaño”, apuntan.

En caso de que el usuario caiga en la trampa de los cibercriminales y pinche en el enlace del correo electrónico recibido, es redireccionado a una nueva página en la que se le pedirán los datos de su tarjeta de crédito para proceder al reembolso.

Tanto el correo electrónico como la página a la que se redirígeme posteriormente utilizan imágenes y logos oficiales de la Seguridad Social. Si a esto unimos que la URL que se incluye en el texto del email es una copia casi exacta de las que emplea el organismo no es de extrañar que muchos usuarios no vean la diferencia con los comunicados oficiales.

Por ello, Incibe recomienda poner los hechos en conocimiento de la entidad bancaria de inmediato y se denuncie. Pero se espera que los ataques de suplantación de identidad sigan aumentando en los próximos meses pues, con el surgimiento del coronavirus son muchos los servicios públicos que se han visto afectados por este tipo de ataques que buscan hacerse con las credenciales bancarias de los usuarios.

Policía Nacional, Guarda civil, Amazon, Openbank, Samsung, Endesa, Netflix o incluso 400 empresas del sector industrial en Rusia… cada vez son más las empresas que ven suplantada su identidad en una campaña de phishing. Entonces, ¿cómo podemos identificar una suplantación de identidad y evitar convertirse en una víctima de los cibercriminales? Aunque los ataques d los cibercrimnales sean cada vez más sofisticados, los siguientes consejos pueden ayudarte a identificar una campaña de phishing:

• El miedo (a perder información valiosa, inutilizar el equipo o sufrir consecuencias legales) y la intimidación, combinados con los pocos conocimientos de sus víctimas, son las principales bazas de los estafadores. Un servicio de soporte nunca amenazará a sus clientes con consecuencias legales, financieras o de cualquier otro tipo en caso de que estos no acepten la ayuda o se nieguen a realizar algún pago.
• Nunca autorizace el acceso remoto a su PC.
• Nunca comparta datos personales (especialmente teléfonos o datos bancarios) con servicios de soporte al cliente que no haya contactado usted mismo.
• Además de contar con un antivirus que sea capaz de detectarlas, se puede utilizar tanto un bloqueador de anuncios como alguna de las extensiones que evitan que se ejecute código JavaScript de forma automática (algo que además es muy efectivo contra el minado de criptodivisas no autorizado).

La entrada El nuevo “aviso de reembolso” de la Seguridad Social es una campaña de phishing aparece primero en Globb Security.