Os ciberdelitos não cessam, e a cada vez são mais sofisticados. Os ciberdelincuentes, que têm encontrado na IA um grande aliado, se aproveitam dos momentos de crises, dos períodos de declaração de impostos ou de certas campanhas de ajuda humanitária para manipular às vítimas e sacar tajada.
Agora, o Instituto Nacional de Ciberseguridad (Incibe) tem detectado uma campanha de suplantación à Agência Estatal de Administração Tributária (AEAT) através de notificações por correio eletrónico. O objectivo não é outro que enganar às vítimas para que facilitem suas credenciais de acesso à Direcção Eletrónica Habilitada Única (DEHÚ).
"Aviso de uma nova notificação eletrónica"
Trata-se de uma campanha de phishing: os delinquentes enviam às vítimas potenciais uma notificação eletrónica relacionada com uma suposta reclamação. Esta vai acompanhada de um enlace para aceder à plataforma e descarregar a notificação, mas dito enlace redirecciona um site fraudulento. O assunto com o que se identificam estes correios é: "Aviso posta a disposição de nova notificação eletrónica REF-XXXXXXXX", o que acorda o sentido de urgência.
Aparentemente, as notificações estão bem redigidas e maquetadas (o que não sempre é habitual), mas o engano se revela ao observar com atenção a direcção de correio do remitente, que não tem relação com o domínio oficial da agência tributária "agenciatributaria.gob.es".
Correios fraudulentos da AEAT
Assim, a entidade tem pedido aos utentes que revisem bem os correios enviados, supostamente, pela AEAT. Em caso de detectar que o enlace é fraudulento, sua recomendação é o reenviar a sua buzón de incidentes.
"Isto permitir-nos-á recopilar a informação para prevenir que outros utentes caiam neste tipo de fraudes. Ademais, bloqueia ao remitente e elimina a mensagem de tua bandeja primeiramente", aconselham.
Que fazer nestes casos
Em caso de ter acedido ao enlace e ter facilitado informação, estas são as recomendações do Incibe:
- Podes pôr-te em contacto com a Linha de Ajuda em Ciberseguridad para que te asesoremos de forma personalizada.
- Reúne e guarda todas as evidências disponíveis sobre a fraude, como capturas de ecrã ou enlaces maliciosos. Podes utilizar serviços de testemunhas on-line para validar a recopilación de provas, especialmente neste caso de smishing ou phishing. Apresenta uma denúncia ante as Forças e Corpos de Segurança do Estado, contribuindo todas as provas recopiladas durante o processo.
- Pratica egosurfing de maneira periódica até passados uns meses para detectar se tua informação pessoal tem sido exposta ou utilizada de forma indevida.
- Muda tuas credenciais de acesso em caso que utilize-las em outras contas on-line. Recorda que o mais seguro é utilizar uma para a cada lugar e se é possível, sempre com um duplo factor de autenticação.
"Se dúvidas sobre a legitimidade de uma comunicação, verifica sempre dantes de actuar pelos canais oficiais, como o site da Agência Tributária", remarca o Incibe.