“AGENCIA TRIBUTARIA: HACIENDA te exige el pago de 48,64 EUR. Consulta en el siguiente enlace”. Este es el SMS que nos llega junto a un enlace en nombre de Hacienda y la Agencia Tributaria. Pero es un caso de smishing: un timo a través de un mensaje de texto en el que los timadores se hacen pasar por el organismo para hacerse con tus datos personales y los de tu tarjeta bancaria.
Los timadores se hacen pasar por la Agencia Tributaria para hacerse con tus datos personales y los de tu tarjeta bancaria
Si accedemos al enlace que nos envían en el SMS para realizar el pago y nos fijamos en la URL de la página a la que nos redirigen, encontramos que termina en es.life (agencia.tributaria-es[.]life). Sin embargo, si buscamos la página oficial de la Agencia Tributaria, veremos que la URL termina en gob.es, lo que indica que es la página oficial que pertenece al Gobierno.
En este sitio web fraudulento, nos dicen que debemos pagar 48,64 euros a Hacienda “por superar el límite especificado” de dinero en Bizum. Supuestamente, “para evitar el recargo de penalización del 50% y posibles reclamaciones fiscales y legales”, podemos pagar en un plazo de 24 horas.
Al seguir el paso y dar al botón de “comenzar verificación”, nos lleva directamente a introducir nuestros datos bancarios y realizar el pago, como podemos comprobar en la siguiente imagen.
No es la primera vez que los timadores se hacen pasar por la Agencia Tributaria. La Agencia Tributaria ya ha advertido de diferentes campañas de envío de mensajes por correo y SMS que suplantan su identidad y que tiene por objetivo robar datos personales y bancarios a las víctimas. El ente no solo recuerda que nunca solicita por correo electrónico o SMS información confidencial, sino que recoge SMS similares entre sus avisos sobre phishing.
Además, en Maldita.eshemos advertido sobre un caso de smishing similar, en el que los timadores envían un SMS para que accedemos a un enlace y rellenamos nuestros datos bancarios, con el pretexto de que la Agencia Tributaria nos hará un reembolso de impuestos de 486 euros.
Consejos para evitar ser víctima de ‘smishing’
Aquí tienes una serie de recomendaciones que puedes seguir cuando te vuelva a llegar un mensaje que use el nombre de tu empresa de confianza:
Mira bien la dirección de la web a la que te redirige antes de pinchar. Normalmente este tipo de notificaciones vienen con un link. Si la URL de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate en lo que aparece antes del último punto, ese es el dominio real de la página web.
No descargues ninguna supuesta aplicación. Podría contener malware.
Activa la protección contra spam en tu móvil.
Párate un momento a pensar. Estos mensajes suelen transmitir urgencia para que tomes medidas cuanto antes y sin razonar.
Contrasta con las fuentes antes de dar tus datos. Recuerda que puedes preguntar a la propia compañía o contactar con el Instituto Nacional de Ciberseguridad (INCIBE) a través de su línea de ayuda en ciberseguridad.
Qué hacer si hemos sido víctimas de este timo
Si has caído en el engaño y has facilitado tus datos, aquí tienes una serie de pasos a seguir:
Si has facilitado tus datos personales, práctica el egosurfing para comprobar que no se está haciendo un uso indebido de los mismos.
Si también has facilitado los datos de tu tarjeta bancaria o tus credenciales de acceso a la banca online, contacta con tu entidad cuanto antes para contarles lo ocurrido y tomar las acciones necesarias.
Recopila todas las evidencias de cómo se ha producido el timo y denuncia ante la Policía Nacional o la Guardia Civil.
Es posible que te hayan suscrito a un servicio de pago online. En este artículo explicamos cómo saberlo y cómo podemos darnos de baja.
Si piensas que has sido víctima de este timo puedes contarnos tu historia escribiéndonos a [email protected].