HM Revenue & Customs (HMRC) ha revelado que ha recibido y está investigando 10,428 correos electrónicos fraudulentos, mensajes SMS, publicaciones en redes sociales y llamadas telefónicas que explotan su nombre durante la pandemia del coronavirus Covid-19, en cifras obtenidas bajo Freedom of Information (FoI). legislación por el Grupo de Contabilidad Lanop.
Casi inmediatamente después de que se abrió a las solicitudes el 20 de abril, el plan de retención de empleo del canciller Rishi Sunak introducido para apoyar a las empresas durante la pandemia fue blanco de los ciberdelincuentes, y estos últimos datos corroboran la información anterior proporcionada por HMRC, según informó Computer Weekly en ese momento. , que mostró un claro aumento en las estafas de phishing relacionadas con impuestos en las siguientes semanas.
HMRC ha dicho ahora que, durante mayo, recibió 5.152 informes de miembros del público y empresas a su servicio de informes de phishing, phishing@hmrc.gov.uk, en comparación con solo 133 en marzo. Las cifras de abril y junio fueron menores, 2.558 y 2.105, respectivamente.
Además de la estafa dirigida al Esquema de retención de empleo por coronavirus, que era un ataque estándar de phishing por correo electrónico, muchas de las otras estafas tomaron la forma de Mensajes SMS (smishing) pretendiendo ser de HMRC informando al destinatario que, debido al coronavirus, se les debía un reembolso de impuestos que podían solicitar en línea en un sitio de apariencia oficial utilizando la marca HMRC. El sitio falso solicitó varios elementos de datos potencialmente confidenciales, incluidos los números de pasaporte, para su verificación.
La prevalencia de estafas basadas en texto puede ser el resultado del uso de HMRC de autenticación, informes y conformidad de mensajes basados en el dominio (Dmarc) protocolos, que son un método relativamente eficaz para evitar que los correos electrónicos fraudulentos exploten la garantía de la marca. Reconociendo su sensibilidad particular a que se explote su marca, HMRC fue de hecho el primer organismo gubernamental del Reino Unido en introducir Dmarc.
Chris Ross, vicepresidente senior internacional de Barracuda Networks, dijo que dada la variedad de paquetes de apoyo financiero para empresas e individuos que se ofrecen a través de HMRC, no fue una sorpresa ver a los ciberdelincuentes explotándolo.
«Estas estafas a menudo se diseñan inteligentemente con la marca oficial y son increíblemente realistas, lo que induce a las víctimas desprevenidas a entregar información confidencial como detalles de cuentas bancarias, nombres de usuario y contraseñas», dijo Ross, quien advirtió que con muchas personas que todavía trabajan de forma remota a pesar de las exhortaciones oficiales, es probable que las estafas continúen.
“Es vital que las empresas se aseguren de que todos y cada uno de los miembros del personal estén debidamente capacitados para detectar este tipo de estafas y que se hayan implementado los sistemas de seguridad cibernética necesarios para identificar y bloquear las comunicaciones sospechosas de ser maliciosas antes de que lleguen a la bandeja de entrada”, dijo.
“Todo lo que se necesita es una sola víctima para entregar datos importantes, y los piratas informáticos pueden obtener acceso a los sistemas críticos de la empresa, lo que les permite causar estragos y robar datos. Sabemos por ataques anteriores al NHS que los piratas informáticos aprovecharán cualquier situación para su propio beneficio, por lo que la vigilancia contra el phishing es clave durante este momento difícil «.
Stav Pischits, director ejecutivo del proveedor de servicios de seguridad Cynance, agregó: “Los ataques cibernéticos no técnicos clásicos, como la ingeniería social, todavía se encuentran entre las formas más efectivas para que los delincuentes roben datos personales de individuos y empresas. Estos esquemas a menudo se aprovechan de las vulnerabilidades naturales de las víctimas ofreciendo apoyo financiero y descuentos, a cambio de entregar ‘detalles de registro’, como números de cuentas bancarias y datos personales.
“Abordar este problema requiere que las empresas reconozcan que estas estafas no desaparecerán pronto. También es clave reconocer que los piratas informáticos no tienen límites y apuntarán a todos, desde el director ejecutivo hasta el recién contratado, en un esfuerzo por capturar sus objetivos «.