IR-2017-119SP, 11 de julio de 2017
WASHINGTON 每 El IRS, las agencias estatales de impuestos y la industria tributaria advirtieron hoy a los profesionales de impuestos a tener cuidado con los correos electr車nicos de tipo phishing, t芍ctica com迆n usada por los delincuentes cibern谷ticos para atacar a los profesionales.
Los correos electr車nicos de tipo phishing, a menudo est芍n dise?ados para los profesionales individuales y resultan en el robo de datos de contribuyentes y en declaraciones fraudulentas de impuestos presentadas a nombre de clientes individuales y empresariales.
Hoy inicia una nueva campa?a de concienciaci車n llamada "No muerda el anzuelo," dirigida a profesionales de impuestos y que incluye informaci車n acerca de correos de tipo phishing. Este es el primero de 10 comunicados de prensa en una serie especial que se publicar芍 semanalmente hasta mediados de septiembre.
※Estamos viendo un sinn迆mero de casos en que los criminales cibern谷ticos se dirigen a los profesionales de impuestos y obtienen informaci車n confidencial de sus clientes que puede usar para presentar declaraciones fraudulentas. Los correos electr車nicos de tipo phishing son una t芍ctica com迆n de acercarse a los profesionales de impuestos,§ dijo John Koskinen, Comisionado del IRS. ※Exhortamos a los profesionales a que revisen esta informaci車n y tomen los pasos para protegerse y proteger a sus clientes.§
El IRS, las agencias estatales de impuestos y la industria tributaria, trabajando juntos como la Cumbre de Seguridad, instan a los profesionales a aprender a reconocer y evitar los emails de phishing. Visite Proteja a sus clientes; prot谷jase a s赤 mismo.
Los emails de phishing se dirigen a un amplio grupo de usuarios con la esperanza de atrapar a algunas v赤ctimas. Estos correos se identifican como entidades conocidas, ya que los delincuentes cibern谷ticos han hecho su tarea de investigaci車n para dirigirse a un p迆blico espec赤fico. Los profesionales de impuestos y los contribuyentes est芍n entre los grupos que regularmente reciben correos electr車nicos de este tipo.
La empresa de software de seguridad Trend Micro informa que el 91 por ciento de todos los ataques cibern谷ticos y filtraciones de datos subsecuentes comienzan con un correo electr車nico de phishing. El email, disfrazado como una fuente de confianza, insta a las v赤ctimas a que divulguen voluntariamente informaci車n confidencial como contrase?as. O, puede animarles a abrir un enlace o archivo adjunto que realmente descargue un malware infeccioso en sus computadoras.
A continuaci車n, un ejemplo de un correo electr車nico de phishing (en ingl谷s) dirigido a un profesional de impuestos durante la pasada temporada de impuestos. El uso de "declaraci車n de impuestos" en la l赤nea del asunto fue el anzuelo para atraer la atenci車n del preparador ya que el remitente aparenta ser un cliente potencial:
El remitente hizo su investigaci車n, obtuvo el correo electr車nico del preparador de impuestos. El correo es amigable pero contiene errores gramaticales y est芍 construido de forma extra?a. Esto es una se?al de que el ingl谷s es el segundo idioma de quien lo envi車. Por 迆ltimo, el enlace usado es un URL "peque?o," para disimular el destino real.
Hay varias versiones de correos electr車nicos de phishing en las que el criminal se presenta como un cliente potencial. En una versi車n, el prospecto "cliente" se dirige al profesional de impuestos para que abra un archivo adjunto y vea la informaci車n tributaria de 2016, necesaria para preparar una declaraci車n. Sin embargo, el archivo adjunto en realidad descarga malware que rastrea cada pulsaci車n del teclado hecha por el profesional de impuestos, permiti谷ndole al criminal robar contrase?as y datos confidenciales.
La mayor赤a de los correos electr車nicos de phishing tienen un "llamado a la acci車n" como parte de sus t芍cticas, un esfuerzo para animar al destinatario a abrir un enlace o archivo adjunto. El ejemplo anterior pide al preparador que revise su informaci車n tributaria y proporcione un estimado del costo.
Otros correos electr車nicos de este tipo aparentan provenir del IRS, como las herramientas de servicios electr車nicos (e-Services) para profesionales de impuestos, o de un proveedor de software de impuestos del sector privado. En esos ejemplos, se les advierte a los preparadores que deben actualizar inmediatamente su informaci車n de cuenta o sufrir芍n una consecuencia. El enlace puede ir a un sitio web disfrazado por los ladrones para que se parezca a las p芍ginas de inicio de sesi車n del IRS o su proveedor de impuestos.
Los delincuentes criminales son muy creativos. Este a?o, algunos ladrones de identidad filtraron cuentas de correos electr車nicos de individuos. Al notar que los individuos se hab赤an comunicado por correo electr車nico con los preparadores de impuestos, los delincuentes usaron la direcci車n de email del individuo para enviar una nota a su preparador pidiendo que se cambiara el n迆mero de cuenta para el dep車sito directo del reembolso. La estafa provoc車 un alerta del IRS dirigido a los preparadores acerca de estos cambios de 迆ltima hora. Ver IR-2017-64SP
No hay una sola acci車n para proteger a sus clientes o negocio contra correos de phishing
Se requiere una serie de pasos defensivos. Los profesionales de impuestos deben considerar estos pasos b芍sicos:
- Eduque a todo el personal acerca de phishing.
- Use contrase?as fuertes y 迆nicas. Mejor a迆n, use una frase en lugar de una palabra. Use contrase?as diferentes para cada cuenta y que incluyan una combinaci車n de letras, n迆meros y caracteres especiales.
- Nunca abra un correo electr車nico de una fuente familiar por considerarlo aut谷ntico; ejemplo: un correo electr車nico de "IRS e-Services." Si le pide que abra un enlace o un archivo adjunto, o si incluye una amenaza para cerrar su cuenta, piense dos veces. Visite la p芍gina web de e-Services para confirmarlo.
- Si un correo electr車nico contiene un enlace, coloque el cursor sobre el enlace para ver el destino del URL. Si no es un URL que reconoce o si est芍 abreviado, no lo abra.
- Considere una confirmaci車n verbal por tel谷fono si recibe un correo electr車nico de un cliente nuevo que le env赤a informaci車n tributaria, o de un cliente que solicita cambios de 迆ltima hora para el dep車sito de su reembolso.
- Use software de seguridad para defenderse contra el malware, los virus y los sitios conocidos de phishing, y actualice el software autom芍ticamente.
- Use las opciones de seguridad incluidas con su software de preparaci車n de impuestos.
- Env赤e correos electr車nicos sospechosos de phishing relacionados con impuestos a [email protected].