Els ciberdelinqüents continuen utilitzant la imatge d'Hisenda per intentar enganyar els contribuents. En els darrers mesos s'han detectat noves campanyes de phishing (a través del correu electrònic) i smishing (mitjançant SMS) que suplanten la identitat de l'Agència Tributària amb l'objectiu de robar dades personals i bancàries.
Aquests missatges acostumen a informar d'un suposat reemborsament, d'una notificació pendent o d'un problema amb una entrega, i inclouen un enllaç que dirigeix la víctima a una pàgina web falsa que imita la seu electrònica d'Hisenda o la d'una empresa de missatgeria.
Hisenda mai envia SMS per retornar diners
Cal tenir molt present una qüestió fonamental: Hisenda mai envia missatges SMS ni correus electrònics per comunicar devolucions d'impostos amb enllaços directes ni per demanar dades bancàries o personals.
Si has de rebre una devolució o una notificació oficial, aquesta es gestiona a través dels canals oficials de l'Agència Tributària, on hi ha un àrea personal i de notificacions amb molta seguretat. Existeix la possibilitat de rebre un avís previ d’Hisenda per informar de l’existència de la notificació per correu electrònic o per SMS, però sense cap enllaç; i les notificacions administratives es practiquen segons els procediments establerts, principalment mitjançant la seu electrònica per als obligats a relacionar-se electrònicament amb l'Administració o, quan correspon, per correu postal. En cap cas es demanen dades confidencials mitjançant un SMS ni un correu electrònic.
Per tant, si reps un missatge que et demana clicar un enllaç per cobrar una devolució, verificar un compte o completar una notificació, és molt probable que es tracti d'un intent d'estafa.
Com funciona aquesta estafa?
Els delinqüents envien un SMS o un correu electrònic que aparentment prové de l'AEAT i que informa que s'ha emès una comunicació dirigida al contribuent. El missatge incorpora un enllaç que, en molts casos, redirigeix a una pàgina que suplanta la identitat d'una empresa de missatgeria, com ara MRW, indicant un fals problema en el lliurament d'un paquet.
L'objectiu és crear una sensació d'urgència perquè la víctima faci clic a l'enllaç i introdueixi dades personals, credencials d'accés o informació bancària. Aquestes dades són capturades pels ciberdelinqüents i poden ser utilitzades per cometre fraus econòmics.
Senyals que indiquen que es tracta d'un frau
Hi ha diversos indicadors que poden ajudar-nos a detectar aquests intents de suplantació:
- El missatge parla d'una devolució d'impostos o d'una notificació urgent enviada per SMS o per correu electrònic, que s’ha de dur a terme des de la pròpia comunicació.
- Demana dades bancàries o personals.
- Inclou enllaços que no corresponen al domini oficial de l'Agència Tributària.
- Conté faltes d'ortografia o errors gramaticals.
- Utilitza expressions que generen pressió, com ara "últim avís", "pagament pendent" o "acció immediata".
- El remitent sembla oficial, però aquest identificador pot haver estat manipulat pels estafadors.
Com actuar si reps un SMS o email sospitós
Si reps un missatge d'aquest tipus, és important seguir aquestes recomanacions:
- No facis clic en cap enllaç.
- No descarreguis cap fitxer adjunt.
- No responguis al missatge.
- Elimina'l directament.
- Si tens dubtes sobre alguna notificació, consulta sempre la informació accedint directament a la seu electrònica de l'Agència Tributària o revisant les notificacions rebudes pels canals oficials.
I si ja has facilitat les teves dades?
Si has introduït dades personals o bancàries en una pàgina fraudulenta, és recomanable actuar amb rapidesa:
- Contacta immediatament amb la teva entitat bancària.
- Bloqueja la targeta si has facilitat les seves dades.
- Canvia les contrasenyes dels serveis afectats.
- Presenta una denúncia davant els cossos de seguretat.
- Informa de l'incident als canals habilitats per les autoritats competents en ciberseguretat.
La millor protecció és la prevenció
Les campanyes de phishing són cada vegada més sofisticades i poden resultar molt convincents. Per això és essencial desconfiar de qualsevol missatge inesperat que demani informació personal o bancària.
Recorda aquesta norma bàsica: Hisenda no envia SMS ni correus electrònics per retornar diners ni per sol·licitar dades confidencials. Qualsevol notificació oficial es comunica pels canals oficials i, quan escau, mitjançant correu postal. Davant qualsevol dubte, és preferible accedir directament a la seu electrònica de l'Agència Tributària escrivint manualment l'adreça al navegador, sense utilitzar els enllaços rebuts per SMS o correu electrònic.
Què fer si has estat víctima del frau?
Actuar amb rapidesa és clau per reduir l'impacte de l'estafa i protegir les teves dades.
A Catalunya has d'interposar la denúncia davant del Cos dels Mossos d'Esquadra, acudint a la Unitat d'Investigació de Delictes Informàtics o a qualsevol comissaria. Paral·lelament, contacta amb la teva entitat bancària, bloqueja les targetes afectades i canvia les contrasenyes dels comptes que puguin haver quedat compromesos.
Altres articles d’interès:
MEDICONSULTING ETL GLOBAL, S.L.; NIF B-58818501; domicili social: Passeig de la Bonanova, 47, Barcelona 08017; Inscrita al Registre Mercantil de Barcelona, volum 22352, foli 151, inscripció 6a d’adaptació, fulla B-36.748