Estafa de phishing se hace pasar por agencia tributaria canadiense antes del Día de Canadá


El período previo a las festividades del Día de Canadá ha traído consigo una estafa fiscal

A pesar de que la fecha límite para declarar impuestos en Canadá ya pasó el 2 de mayoDakota del Norte, 2022, algunas personas pueden haber presentado su solicitud tarde o todavía están esperando su reembolso. Quizás es por eso que ayer recibí un correo electrónico de phishing que pretendía provenir de la Agencia de Ingresos de Canadá (CRA) y prometía un reembolso de casi 500 dólares canadienses:

Figura 1. Un correo electrónico de phishing que ofrece un reembolso de la CRA

Aparte del error de usar guidovedebe@skynet.be como la dirección De: del correo electrónico, no es así como se comunica la CRA. Si está utilizando una cuenta de My Assistance Canada, debe esperar recibir una notificación comparable a esta:

Figura 2. Ejemplo de correspondencia legítima de la CRA

Entendiendo cómo los phishers abusan de los enlaces en los correos electrónicos, la CRA ha tomado la sabia estrategia de no proporcionar enlaces en la correspondencia oficial y, en cambio, instruir a los clientes para que naveguen por su cuenta al sitio net oficial.

Sin embargo, si hace clic en el botón «Interac e-Transfer Autodeposit», será redirigido desde un enlace malicioso alojado en istandyjeno[.]hu a la subcarpeta maliciosa cra_ca_servicio alojado en oraclehomes.com:

Figura 3. Un sitio world wide web de phishing que ofrece un reembolso de impuestos de la CRA

Los operadores detrás de esta campaña han hecho un trabajo bastante bueno al crear una página que parece legítima, pero todavía hay algunos signos de estafa. Por ejemplo, el pie de página de una página legítima se ve así:

Figura 4. El pie de página del sitio legítimo canada.ca/en/services/taxes/profits-tax/private-income-tax.html

Además, los elementos del menú en la página de phishing no conducen a ninguna parte:

Figura 5. Los enlaces del menú en la página de phishing no conducen a ninguna parte

Al hacer clic en «Trabajos», simplemente se completa la URL con el valor del identificación atributo del elemento HTML para «Trabajos».

A continuación, si hace clic en el botón «Continuar» en la página de inicio, la siguiente página le solicitará su información personal, incluido su número de seguro social, fecha de nacimiento y apellido de soltera de la madre de ​​hecho, todo lo que un phisher necesitaría para el robo de identidad. :

Figura 6. El primer formulario de phishing solicita información individual, suficiente para el robo de identidad

Si una víctima luego hace clic en el botón «Continuar», la siguiente página solicita la información de su tarjeta de crédito:

Figura 7. El segundo formulario de phishing solicita información de la tarjeta de crédito

La página final confirma falsamente que su reembolso se depositará en su cuenta de tarjeta de crédito dentro de 5 a 10 días hábiles:

Figura 8. La página de confirmación del sitio de phishing

Finalmente, se le redirige a una página world-wide-web legítima de la CRA:

Figura 9. La página legítima del “Impuesto sobre la renta de las personas físicas” de la website de la CRA

La misma redirección ocurre si intenta navegar directamente a la cra_ca_servicio subdirectorio del sitio.

ESET bloquea estas amenazas como un intento de phishing:

Figura 10. ESET bloquea los maliciosos estvandyjeno[.]hu dominio

Figura 11. ESET bloquea los maliciosos casasoráculo[.]com/cra_ca_servicio sitio

Phishing en perspectiva

Según el Informe de amenazas de ESET T1 2022, aproximadamente un tercio de las URL de phishing detectadas en los primeros cuatro meses de 2022 se hicieron pasar por organizaciones financieras. Pero hay otros contendientes populares para los señuelos de phishing, como las páginas de inicio de sesión falsas de Facebook y WhatsApp y los sitios internet que se hacen pasar por servicios de correo electrónico y plataformas de juegos:

Figura 12. Las 10 principales categorías de sitios net de phishing en los primeros cuatro meses de 2022 por número de URL únicas (fuente: telemetría de ESET)

Aunque, en este caso, los operadores malintencionados se dirigieron a la tarjeta de crédito y la información own de los canadienses, el phishing puede abarcar una variedad de objetivos, como descargas de ransomware, troyanos bancarios, malware de cryptojacking e implementaciones de botnets. Por lo tanto, tenga en cuenta los siguientes consejos para detectar y mantenerse alejado de esta amenaza:

  • Considere si el supuesto remitente normalmente se comunica por correo electrónico de esta manera.
  • En lugar de hacer clic en los enlaces de un correo electrónico, es mejor navegar manualmente al sitio net oficial del remitente aparente.
  • Compruebe si hay errores evidentes en el correo electrónico. Por ejemplo, ¿por qué la Agencia Tributaria de Canadá le enviaría un correo electrónico de guidovedebe@skynet.be?
  • Siempre tenga cuidado de compartir su información individual y financiera con cualquier página web.
  • Familiarícese con el Página de alertas de estafas de CRAespecialmente con el muestras de correos electrónicos fraudulentos haciéndose pasar por la CRA.



Enlace a la noticia initial