El Laboratorio de Panda Security, PandaLabs, ha detectado una fuerte oleada de ataques de phishing en los cuales se suplanta la identidad de la Seguridad Social para robar a las vĂctimas a travĂ©s de un email con asunto “DevoluciĂłn Seguridad Social”. En Ă©l, los ciberdelincuentes urgen a sus vĂctimas a obtener la parte mal cobrada de un supuesto impuesto.
En su mayorĂa, estos correos afirman que van a devolver a sus vĂctimas la misma cantidad de 345,76€, y todos ellos utilizan la misma falsa referencia ES-A80105W. Tan solo necesitan un clic en el enlace que conduce al sitio web falso para conseguir lo que quieren es estos momentos de crisis.
“A los expertos en ciberseguridad nos cuesta creer que la página web de un organismo pĂşblico no cuente con medidas mĂnimas de seguridad como el certificado SSL que sĂ es obligatorio para cualquier pyme que quiera vender online. Por ello, creemos que ahora, más que nunca, debe crearse un consenso entre las empresas privadas y los organismos pĂşblicos para concienciar y predicar con el ejemplo de la ciberseguridad a toda la sociedad”, afirma HervĂ© Lambert, Global Consumer Operations Manager de Panda Security.
DĂłnde reside el Ă©xito de este ataque de phishingÂ
La mayor parte del Ă©xito de este ciberataque reside en la llamada a la acciĂłn, basada en la urgencia, porque el enlace tiene una fecha de caducidad muy cercana. Esta tĂ©cnica comĂşn entre los hackers es similar a las ofertas de marketing, pues obligan a la persona a realizar la acciĂłn en un tiempo limitado.Â
De este modo, al pensar que tenemos poco tiempo para cobrar lo que la Seguridad Social nos está supuestamente devolviendo, bajamos la guardia por unos segundos.
“Esa pequeña fracciĂłn de tiempo es la Ăşnica que necesitan los hackers para robar de nuestra cuenta corriente y, probablemente, para hacerse con nuestros datos de acceso”, advierte HervĂ© Lambert, Global Consumer Operations Manager de Panda Security. “Si a ello le sumamos el nerviosismo que están viviendo miles de personas afectadas por los ERTE, despidos y bajadas de sus ingresos como consecuencia de la crisis del coronavirus, hace que este timo sea todavĂa más efectivo”, añade HervĂ© Lambert.
CĂłmo detectar el timo
Lo principal que debemos saber es que, es relativamente fácil localizar el engaño en este tipo de ataques de phishing en los que se suplanta a la Seguridad Social. Estos ccibercriminazles emplean la difĂcil URL que tiene la página de la Seguridad Social para despistar a sus vĂctimas creando una página similar por la que solemos estar acostumbrados a navegar.Por ello, hay que tener en cuenta que la página web de la Seguridad Social es seg-social.es, mientras que la utilizada por los hackers apunta realmente a un dominio que termina en “.gob.es
Al pensar que tenemos poco tiempo para cobrar lo que la Seguridad Social nos está supuestamente devolviendo, bajamos la guardia por unos segundos
Por inverosĂmil que parezca en un paĂs de la UniĂłn Europea, la página web de la Seguridad Social española no dispone del protocolo de navegaciĂłn segura “SSL” en todo su sitio. Este certificado, sirve para hacer patente que la navegaciĂłn entre nuestro dispositivo y el servidor de la Seguridad Social está cifrada. Sin embargo, la web a la que enlazan los ciberdelincuentes sĂ cuenta con el protocolo “https” que está visible al inicio del enlace que envĂan en su timo digital.
Además, un punto importante a tener en cuenta y que nos deberĂa hacer dudar de este email o de los que podamos recibir en un futuro es la forma en la que se dirigen a sus vĂctimas. En este caso, los ciberdelincuentes usan la palabra cliente, pero por lo general, un organismo pĂşblico jamás llamará “cliente” a un ciudadano.
