En plena campanya de la Renda 2022, els ciberdelinqüents se les empesquen totes per intentar enganyar els contribuents. El botí que persegueixen acostuma a estar relacionat amb les dades personals de les víctimes per suplantar la seva identitat o fins i tot intentar accedir als seus comptes bancaris.
Aquesta mena de ciberestafes es coneixen com a phishing (si es fan a través de correus electrònics) o smishing (si es fan per SMS o qualsevol altre sistema de missatgeria). També es poden donar casos de vishing o frau a través d’una trucada telefònica. És important aprendre a detectar aquests fraus per evitar-ne les conseqüències.
Com que en aquesta època augmenten les comunicacions amb l’Agència Tributària, habitualment els estafadors es fan passar per aquest organisme. És a dir, suplanten l’Agència Tributària perquè les seves víctimes se’n refiïn i els facilitin les seves dades o es descarreguin algun malware sense voler.
Per aconseguir-ho, fan servir correus electrònics o missatges de text fraudulents, en què es fan passar per l’Agència Tributària i demanen alguna acció per part del destinatari.
El primer que cal fer és saber el que no fa mai l’Agència Tributària:
- Mai no sol·licita per correu electrònic o SMS informació confidencial, econòmica o personal, números de compte ni números de targeta de crèdit o de dèbit. Tampoc adjunta annexos amb informació de factures o qualsevol altra mena de dades.
- Mai no fa devolucions a targetes de crèdit o dèbit, ni utilitza Bizum.
- Mai no cobra pels serveis que presta.
A més a més, hi ha tot un seguit de pistes que ens ajudaran a distingir els missatges fraudulents:
- Poden apel·lar a una suposada falta d’informació per fer la devolució de la declaració de la renda. Així, aprofiten per sol·licitar a la víctima que els proporcioni dades personals, bancàries o de qualsevol altre mena: per poder disposar dels diners cal accedir a un enllaç que porta fins a un web fals amb un formulari en què s’ha d’aportar aquesta informació. Això tan sols és un pretext, però cal tenir en compte que n’hi poden haver molts altres.
- Animen a actuar amb urgència davant possibles conseqüències, com ara enfrontar-nos a una sanció o, simplement, rebre algun reemborsament dels impostos.
- L’adreça des de la qual s’ha enviat el correu electrònic no es correspon amb el remitent, en aquest cas, l’Agència Tributària, tot i que això no sempre passa en el 100 % dels casos. Els remitents, tant de correus electrònics com d’SMS o trucades, es poden suplantar completament perquè el receptor hi vegi una adreça o número de telèfon aparentment legítim, quan realment no ho és.
- Tenen faltes d’ortografia, incoherències gramaticals o missatges poc clars. Tot i que el fet que no hi hagi faltes no garanteix que siguem al davant d’un missatge legítim, en un cas fraudulent la presència d’errades és molt indicativa. A més a més, els missatges no estan personalitzats i els formats de correu acostumen a ser poc curosos.
Ja s’han registrat alguns intents de frau relacionats amb la campanya de la Renda 2022, que és la que s’efectua durant aquest any 2023:
Alguns usuaris de Bizum estan rebent una sol·licitud d’enviament de diners suplantant l’Agència Tributària amb l’assumpte «AEAT PAGO RENTA 2022».
És un frau i, en aquest cas, l’Agència Tributària recomana prémer «Rebutjar sol·licitud»
Hi ha casos de phishing que fan servir dominis usurpats. En aquests casos, redirigeixen a una pàgina que imita la de l’autenticació de la seu de l’Agència Tributària i que demana una adreça de correu i una contrasenya.
Quan s’introdueix el correu electrònic i la contrasenya, sempre apareix el següent: «La validació no és correcta. Torna a introduir l’adreça de correu i contrasenya de correu electonic».
Aquests missatges no s’han d’atendre, ja que és un intent de suplantar l’Agència Tributària per obtenir dades fraudulentament.
Aquest és un cas de smishing que suplanta l’Agència Tributària mitjançant l’enviament d’un SMS que anuncia una devolució d’impostos inexistent.
L’enllaç que apareix a l’SMS redirigeix a una pàgina web fraudulenta que imita la imatge de l’Agència Tributària. Des d’aquest web es redirigeix la víctima a un formulari que demana informació sobre targetes de crèdit i que mai no s’ha d’emplenar.
Per evitar caure en els intents de frau durant la campanya de la Renda 2022 és important mantenir-se en guàrdia i prendre algunes precaucions:
Com que de vegades els ciberdelinqüents poden usurpar el domini web oficial, convé fixar-se en més detalls del missatge per evitar un frau.
Recorda el que dèiem al principi: l’Agència Tributària mai no demana informació per correu electrònic, SMS o telèfon. Només utilitzaria els dos primers canals per informar-te sobre l’estat de la teva declaració o per avisar-te que tens una comunicació a la seva seu electrònica. I el telèfon, per informar-te sobre la teva cita prèvia, si ho has sol·licitat.
Si, a més a més, hi observes que el missatge intenta crear-te sensació d’urgència perquè actuïs o hi apareixen alguns errors de redacció, el més probable és que sigui fraudulent. El millor que pots fer en aquests casos és no fer cas del missatge i esborrar-lo directament.
Mai no has d’obrir-los, entre altres raons perquè l’Agència Tributària mai n’envia. Tampoc no et demanarà que truquis a un número de telèfon. Si ho fas, t’exposaràs a instal·lar malware al teu ordinador o a facilitar informació a qui no ho has de fer. Novament, el millor de tot és esborrar el missatge sense baixar res, ni obrir enllaços o facilitar informació.
Recorda que l’Agència Tributària no fa servir mai aquests mètodes per reemborsar impostos. Així que no facilitis mai les teves dades si te les demanen per fer aquests reemborsaments.
Has d’assegurar-te que l’adreça web del remitent és exactament igual que l’oficial. Cal fixar-se bé perquè, de vegades, són molt semblants i això pot portar a l’engany. En el cas de l’Agència Tributària, el domini és aeat.es. Davant del dubte, tecleja directament l’adreça web en un cercador i no facis servir mai enllaços de correus o SMS.