En el mundo, muchos países se están preparando para la época de
impuestos. En Colombia, la temporada o
calendario tributario para los distintos tipos de contribuyentes, está
distribuido entre tributos nacionales y locales, a lo largo de todo el año.
Atender estas obligaciones es un reto, pero ahora los ciberdelincuentes
complican el tema, porque buscan estafar con distintas acciones. Una modalidad
es el “reembolso” que puede aparecer en
su buzón de correo.
Este momento se
convierte en una oportunidad para que los piratas informáticos intervengan.
Normalmente, los piratas informáticos aprovechan la situación distribuyendo
archivos maliciosos que se hacen pasar por archivos oficiales. De hecho, es tan
generalizado que el IRS (Internal Revenue Service) de los Estados Unidos,
publica su lista anual “Dirty Dozen” que describe las estafas fiscales más
populares.
El año pasado, también
vimos un giro cuando Check Point descubrió cómo ChatGPT puede crear correos
electrónicos de phishing convincentes relacionados con impuestos.
Este año no es
diferente. Por ejemplo, en el Reino Unido, HM Revenue and Customs (HMRC)
informó sobre más de 130.000 casos de estafa fiscal en el año previo a
septiembre de 2023, incluidas 58.000 ofertas falsas de devolución de impuestos.
El departamento de Gobierno incluso envió un aviso antes de la fecha límite de
enero para 12 millones de personas que presentan declaraciones de impuestos de
autoevaluación, advirtiendo que los estafadores se hacen pasar cada vez más por
HMRC con estafas que van desde prometer reembolsos, exigir actualizaciones de
detalles impositivos o incluso amenazar con arresto por evasión fiscal.
Check Point Research ha
encontrado múltiples casos de phishing y malware relacionados con impuestos.
El objetivo es simple:
inducir al usuario final a entregar información confidencial o dinero.
El ataque con código QR
fiscal
En este ataque, los
actores de la amenaza se hacen pasar por el IRS. Adjunto a un correo
electrónico hay un PDF malicioso que utiliza un patrón de asunto de {NOMBRE}
TaxYearlyReturn3x{Nombre de la empresa}.pdf
El archivo PDF
aparentemente se hace pasar por una correspondencia oficial del IRS, que
informa a la víctima que hay documentos esperándola.
En la parte inferior
del documento, hay un código QR que conduce a varios sitios web maliciosos
diferentes.
Todos estos sitios son
sitios web de verificación, algunos con el patrón
1w7g1[.]unisa0[.]com/6d19/{USEREMAIL} que ahora conducen a sitios web
maliciosos inactivos.
El código QR sufre lo
que llamamos enrutamiento condicional. En estos ataques, la pregunta inicial es
similar, pero el destino de la cadena de redireccionamiento es bastante
diferente. El enlace busca dónde interactúa el usuario con él y se ajusta en
consecuencia. Si este utiliza una Mac, por ejemplo, aparece un enlace; si el
usuario está en un teléfono Android, aparece otro. El objetivo final es el
mismo: instalar malware en el terminal del usuario final y al mismo tiempo
robar credenciales. Al ajustar el destino en función de cómo acceder al usuario
final, la tasa de éxito es mucho mayor.
La estafa fiscal
"Le debemos dinero"
En Australia, vimos una
estafa de phishing que supuestamente fue enviada desde la “Oficina de Impuestos
de la ATO”. De hecho, fue enviado desde una dirección de iCloud. En este correo
electrónico, el asunto es "Le debemos dinero; registre sus datos bancarios
hoy". El correo electrónico guía al usuario a este enlace,
hxxp://gnvatmyssll[.]online, donde se le solicita que ingrese sus credenciales:
Vimos campañas
similares en otros países. Esto proviene de un sitio web de phishing que se
hace pasar por el gobierno del Reino Unido y utiliza el dominio malicioso
ukrefund[.]tax:
También vimos campañas
similares que utilizan varios dominios, entre ellos:
cumplimiento-hmrc[.]co[.]uk
hmrc-criptoauditoría[.]com
equipo
hmrc-financiero[.]
deuda hmrc [.] reino
unido
hmrcguv[.]sitio
Reembolsos por venta
Cuando la gente
presenta sus impuestos, espera que vayan directamente al gobierno. No esperan
que su información privada llegue a manos de piratas informáticos. Pero en la
web oscura, los investigadores de Check Point han encontrado un mercado
floreciente para documentos fiscales confidenciales. Hemos visto piratas
informáticos vendiendo formularios W2 y 1040 legítimos. Estos son formularios
W2 y 1040 reales, de personas reales, que no se dan cuenta. Estos documentos se
venden por hasta 75 dólares cada uno, aunque algunos ofrecen descuentos por
volumen de hasta 10 dólares. Un hacker incluso ofreció un obsequio de 50
formularios 1040 y W2.
Otra táctica que
utilizan los piratas informáticos es ofrecer cuentas bancarias para reembolsar
los depósitos. El actor de la amenaza ofrece un número de cuenta bancaria para
depositar el reembolso. A su vez, el pirata informático envía el dinero a otros
piratas informáticos y se queda con un pequeño porcentaje.
La táctica final es más
preocupante. Los piratas informáticos están comprando y regalando acceso
privilegiado de escritorio remoto a servicios fiscales populares. Esto incluye
una empresa de servicios fiscales con 8.000 clientes, con información completa
de sus reembolsos y números de ruta bancaria. Esto cuesta USD $15.000.
Por una cantidad de
dinero relativamente baja, los piratas informáticos pueden presentar reembolsos
en nombre de personas comunes y corrientes y obtener los beneficios.
El asistente de
impuestos de ChatGPT
El año pasado, los
investigadores de Check Point solicitaron a ChatGPT que produjera el texto de
un correo electrónico que contenía lenguaje de estafa fiscal. Esto resultó en
un correo electrónico convincente sobre el Crédito de Retención de Empleados.
Otro mensaje creó un correo electrónico que proviene del IRS sobre un
reembolso:
Cómo mantenerse seguro
en la temporada de impuestos
Recuerde, la mayoría de
las agencias tributarias se comunican directamente a través del correo postal o
le enviarán un correo electrónico oficial.
Con la proliferación de
campañas de phishing y malware generadas por IA, puede resultar casi imposible
identificar lo legítimo de lo ilegítimo.
A pesar de ello,
todavía existen trucos para poder identificar correos electrónicos de phishing:
• Archivos adjuntos
inusuales: tenga cuidado con los correos electrónicos con archivos adjuntos
sospechosos, como archivos ZIP o documentos que requieren habilitar macros.
• Gramática o tono
incorrectos: aunque la IA ha mejorado la calidad de los correos electrónicos de
phishing, las inconsistencias en el lenguaje o el tono aún pueden ser señales
de alerta.
• Solicitudes
sospechosas: cualquier correo electrónico que solicite información confidencial
o haga demandas inusuales debe tratarse con escepticismo.
Mantenerse a salvo
• No responda, no haga
clic en enlaces ni abra archivos adjuntos: interactuar con un correo electrónico
sospechoso solo aumenta el riesgo.
• Informar y eliminar:
informar correos electrónicos sospechosos antes de eliminarlos puede ayudar a
proteger a otros de ser víctimas de estafas similares.
• Invierta en
soluciones antiphishing: herramientas como Check Point Harmony Email &
Collaboration Suite Security ofrecen protección integral contra intentos de
phishing, salvaguardando sus comunicaciones digitales.
“Durante la temporada
de impuestos, ya tienes suficiente sobre qué ocuparte. No hay que agregar el
phishing a la ecuación. El conocimiento de estas campañas relacionadas con los
impuestos juega un papel importante en la protección de su información y datos.
Además, las soluciones antiphishing pueden impedir que los intentos de campañas
de phishing ingresen a las bandejas de entrada”, afirma Manuel Rodríguez,
Gerente de Ingeniería de Seguridad para NOLA de Check Point.
Check Point Harmony
Email & Collaboration Suite Security ofrece protección completa para
Microsoft 365, Google Workspace y todas las aplicaciones de colaboración y uso
compartido de archivos.
“Ya estamos empezando a
ver cómo se está formando un tsunami de estafas fiscales. Los piratas informáticos
están aprovechando la inteligencia artificial, esquemas avanzados de phishing e
incluso códigos QR para engañar a las personas y quitarles los reembolsos de
impuestos que tanto les costó ganar. También estamos viendo documentos fiscales
y financieros a la venta en la web oscura, ya que los piratas informáticos
buscan presentar declaraciones de impuestos en nombre de personas comunes y
corrientes para robar sus reembolsos. En Check Point Research, instamos a las
personas a mantenerse alerta, presentar sus impuestos con anticipación y
recordar que la mayoría de las agencias tributarias se comunicarán directamente
por correo postal, nunca por teléfono”, explica Sergey Shykevich, director del
grupo de inteligencia sobre amenazas de
Check Point Research.
.jpg)
