En el mundo, muchos países se están preparando para la época de impuestos. En Colombia, la temporada o calendario tributario para los distintos tipos de contribuyentes, está distribuido entre tributos nacionales y locales, a lo largo de todo el año. Atender estas obligaciones es un reto, pero ahora los ciberdelincuentes complican el tema, porque buscan estafar con distintas acciones. Una modalidad es el “reembolso” que puede aparecer en su buzón de correo.
Este momento se convierte en una oportunidad para que los piratas informáticos intervengan. Normalmente, los piratas informáticos aprovechan la situación distribuyendo archivos maliciosos que se hacen pasar por archivos oficiales. De hecho, es tan generalizado que el IRS (Internal Revenue Service) de los Estados Unidos, publica su lista anual “Dirty Dozen” que describe las estafas fiscales más populares.
El año pasado, también vimos un giro cuando Check Point descubrió cómo ChatGPT puede crear correos electrónicos de phishing convincentes relacionados con impuestos.
Este año no es diferente. Por ejemplo, en el Reino Unido, HM Revenue and Customs (HMRC) informó sobre más de 130.000 casos de estafa fiscal en el año previo a septiembre de 2023, incluidas 58.000 ofertas falsas de devolución de impuestos. El departamento de Gobierno incluso envió un aviso antes de la fecha límite de enero para 12 millones de personas que presentan declaraciones de impuestos de autoevaluación, advirtiendo que los estafadores se hacen pasar cada vez más por HMRC con estafas que van desde prometer reembolsos, exigir actualizaciones de detalles impositivos o incluso amenazar con arresto por evasión fiscal.
Check Point Research ha encontrado múltiples casos de phishing y malware relacionados con impuestos.
El objetivo es simple: inducir al usuario final a entregar información confidencial o dinero.
El ataque con código QR fiscal
En este ataque, los actores de la amenaza se hacen pasar por el IRS. Adjunto a un correo electrónico hay un PDF malicioso que utiliza un patrón de asunto de {NOMBRE} TaxYearlyReturn3x{Nombre de la empresa}.pdf
El archivo PDF aparentemente se hace pasar por una correspondencia oficial del IRS, que informa a la víctima que hay documentos esperándola.
En la parte inferior del documento, hay un código QR que conduce a varios sitios web maliciosos diferentes.
Todos estos sitios son sitios web de verificación, algunos con el patrón 1w7g1[.]unisa0[.]com/6d19/{USEREMAIL} que ahora conducen a sitios web maliciosos inactivos.
El código QR sufre lo que llamamos enrutamiento condicional. En estos ataques, la pregunta inicial es similar, pero el destino de la cadena de redireccionamiento es bastante diferente. El enlace busca dónde interactúa el usuario con él y se ajusta en consecuencia. Si este utiliza una Mac, por ejemplo, aparece un enlace; si el usuario está en un teléfono Android, aparece otro. El objetivo final es el mismo: instalar malware en el terminal del usuario final y al mismo tiempo robar credenciales. Al ajustar el destino en función de cómo acceder al usuario final, la tasa de éxito es mucho mayor.
La estafa fiscal "Le debemos dinero"
En Australia, vimos una estafa de phishing que supuestamente fue enviada desde la “Oficina de Impuestos de la ATO”. De hecho, fue enviado desde una dirección de iCloud. En este correo electrónico, el asunto es "Le debemos dinero; registre sus datos bancarios hoy". El correo electrónico guía al usuario a este enlace, hxxp://gnvatmyssll[.]online, donde se le solicita que ingrese sus credenciales:
Vimos campañas similares en otros países. Esto proviene de un sitio web de phishing que se hace pasar por el gobierno del Reino Unido y utiliza el dominio malicioso ukrefund[.]tax:
También vimos campañas similares que utilizan varios dominios, entre ellos:
cumplimiento-hmrc[.]co[.]uk
hmrc-criptoauditoría[.]com
equipo hmrc-financiero[.]
deuda hmrc [.] reino unido
hmrcguv[.]sitio
Reembolsos por venta
Cuando la gente presenta sus impuestos, espera que vayan directamente al gobierno. No esperan que su información privada llegue a manos de piratas informáticos. Pero en la web oscura, los investigadores de Check Point han encontrado un mercado floreciente para documentos fiscales confidenciales. Hemos visto piratas informáticos vendiendo formularios W2 y 1040 legítimos. Estos son formularios W2 y 1040 reales, de personas reales, que no se dan cuenta. Estos documentos se venden por hasta 75 dólares cada uno, aunque algunos ofrecen descuentos por volumen de hasta 10 dólares. Un hacker incluso ofreció un obsequio de 50 formularios 1040 y W2.
Otra táctica que utilizan los piratas informáticos es ofrecer cuentas bancarias para reembolsar los depósitos. El actor de la amenaza ofrece un número de cuenta bancaria para depositar el reembolso. A su vez, el pirata informático envía el dinero a otros piratas informáticos y se queda con un pequeño porcentaje.
La táctica final es más preocupante. Los piratas informáticos están comprando y regalando acceso privilegiado de escritorio remoto a servicios fiscales populares. Esto incluye una empresa de servicios fiscales con 8.000 clientes, con información completa de sus reembolsos y números de ruta bancaria. Esto cuesta USD $15.000.
Por una cantidad de dinero relativamente baja, los piratas informáticos pueden presentar reembolsos en nombre de personas comunes y corrientes y obtener los beneficios.
El asistente de impuestos de ChatGPT
El año pasado, los investigadores de Check Point solicitaron a ChatGPT que produjera el texto de un correo electrónico que contenía lenguaje de estafa fiscal. Esto resultó en un correo electrónico convincente sobre el Crédito de Retención de Empleados. Otro mensaje creó un correo electrónico que proviene del IRS sobre un reembolso:
Cómo mantenerse seguro en la temporada de impuestos
Recuerde, la mayoría de las agencias tributarias se comunican directamente a través del correo postal o le enviarán un correo electrónico oficial.
Con la proliferación de campañas de phishing y malware generadas por IA, puede resultar casi imposible identificar lo legítimo de lo ilegítimo.
A pesar de ello, todavía existen trucos para poder identificar correos electrónicos de phishing:
• Archivos adjuntos inusuales: tenga cuidado con los correos electrónicos con archivos adjuntos sospechosos, como archivos ZIP o documentos que requieren habilitar macros.
• Gramática o tono incorrectos: aunque la IA ha mejorado la calidad de los correos electrónicos de phishing, las inconsistencias en el lenguaje o el tono aún pueden ser señales de alerta.
• Solicitudes sospechosas: cualquier correo electrónico que solicite información confidencial o haga demandas inusuales debe tratarse con escepticismo.
Mantenerse a salvo
• No responda, no haga clic en enlaces ni abra archivos adjuntos: interactuar con un correo electrónico sospechoso solo aumenta el riesgo.
• Informar y eliminar: informar correos electrónicos sospechosos antes de eliminarlos puede ayudar a proteger a otros de ser víctimas de estafas similares.
• Invierta en soluciones antiphishing: herramientas como Check Point Harmony Email & Collaboration Suite Security ofrecen protección integral contra intentos de phishing, salvaguardando sus comunicaciones digitales.
“Durante la temporada de impuestos, ya tienes suficiente sobre qué ocuparte. No hay que agregar el phishing a la ecuación. El conocimiento de estas campañas relacionadas con los impuestos juega un papel importante en la protección de su información y datos. Además, las soluciones antiphishing pueden impedir que los intentos de campañas de phishing ingresen a las bandejas de entrada”, afirma Manuel Rodríguez, Gerente de Ingeniería de Seguridad para NOLA de Check Point.
Check Point Harmony Email & Collaboration Suite Security ofrece protección completa para Microsoft 365, Google Workspace y todas las aplicaciones de colaboración y uso compartido de archivos.
“Ya estamos empezando a ver cómo se está formando un tsunami de estafas fiscales. Los piratas informáticos están aprovechando la inteligencia artificial, esquemas avanzados de phishing e incluso códigos QR para engañar a las personas y quitarles los reembolsos de impuestos que tanto les costó ganar. También estamos viendo documentos fiscales y financieros a la venta en la web oscura, ya que los piratas informáticos buscan presentar declaraciones de impuestos en nombre de personas comunes y corrientes para robar sus reembolsos. En Check Point Research, instamos a las personas a mantenerse alerta, presentar sus impuestos con anticipación y recordar que la mayoría de las agencias tributarias se comunicarán directamente por correo postal, nunca por teléfono”, explica Sergey Shykevich, director del grupo de inteligencia sobre amenazas de Check Point Research
Read less