Suplantación de identidad de la institución alemana de impuestos y seguros de accidentes
3 de junio de 2025
Por el equipo de investigación de amenazas de Mimecast
Qué aprenderá en esta notificación
- Los atacantes se aprovechan de la confianza depositada en las instituciones mediante una sofisticada suplantación de identidad de la autoridad fiscal alemana.
- Los correos electrónicos parecen haber sido generados por scripts de spam personalizados con encabezados de Thunderbird falsificados y una gran variabilidad en los asuntos y las direcciones de correo electrónico de origen.
- Dirigido principalmente a organizaciones de Alemania con fines económicos
El equipo de investigación de amenazas lleva desde principios de mayo de 2025 realizando un seguimiento de las campañas de fraude dirigidas a organizaciones alemanas. Esta campaña se centra en dos entidades destacadas: la Oficina Central de Impuestos de Alemania (BZSt) y la Institución Alemana de Seguro de Accidentes Laborales para el Sector de la Alimentación y la Restauración (BGN). Aunque estas organizaciones no son entidades oficiales del sector público gubernamental, desempeñan un papel importante en la gestión de los asuntos fiscales y de la seguridad social en Alemania.
El anuncio se centra en dos ámbitos e incluye una factura adjunta.
- Introducción al módulo digital de prevención de la DGUV:
- Asunto de ejemplo: Presentación del módulo digital de prevención de la DGUV
- Contenido: Exige la participación, describe las ventajas y especifica los plazos urgentes de cumplimiento y pago.
- Recordatorio de pago de la declaración de la renta de 2023
- Ejemplo de asunto: Zahlungserinnerung: Steuererklärung 2023 (Recordatorio de pago: Declaración de la renta de 2023)
- Contenido: Informa de una tasa pendiente de pago correspondiente a la declaración de impuestos por un importe de x, indica que se abra el archivo PDF adjunto para obtener más detalles y hace hincapié en la urgencia del pago.
Características clave de la campaña
Mensajes sofisticados en alemán
Los correos electrónicos fraudulentos están redactados en un alemán formal y bien estructurado, imitando el tono y el estilo de las comunicaciones oficiales de las autoridades. Esto aumenta la credibilidad de los mensajes y los hace más convincentes para los usuarios finales.
Dominios falsos que se hacen pasar por las autoridades fiscales y el BGN
Los autores de las amenazas utilizan dominios que se asemejan mucho a los de organismos fiscales alemanes legítimos y a las comunicaciones de BGN. Estos dominios están diseñados para engañar a los destinatarios y hacerles creer que los correos electrónicos proceden de fuentes oficiales. Entre los ejemplos de dominios falsificados se incluyen:
Para BZSt:
- bzst-abwicklung.de (tramitación)
- bzst-forderung.de (reclamación)
- bzst-rechnungen.de (factura)
- bzst-einzahlung.de (ingreso/pago)
- bzst-zahlung.de (pago)
Para BGN:
- bgn-abwicklung.de (en proceso)
- bgn-bezahlung.de (pago)
- bgn-einzahlung.de (depósito/pago)
- bgn-forderung.de (reclamación)
- bgn-transfer.de (transferencia)
- bgn-zahlstelle.de (oficina de pagos)
Las convenciones de denominación de estos dominios se ajustan a la terminología fiscal y de la Seguridad Social, lo que refuerza aún más su legitimidad a los ojos de los destinatarios.
Generación automática de archivos PDF
Todos los correos electrónicos contienen facturas en formato PDF que se han creado mediante un programa conocido por su capacidad para generar archivos PDF dinámicos y personalizados, que los atacantes utilizan para adaptar los documentos a cada destinatario. Estos archivos PDF suelen contener instrucciones de pago fraudulentas.
Datos financieros falsos
Un indicador significativo de actividad fraudulenta en estas campañas es la inclusión de datos bancarios españoles en los archivos adjuntos. Estos detalles no concuerdan con las operaciones legítimas en Alemania y constituyen una señal de alerta. Entre los ejemplos de información financiera fraudulenta se incluyen:
- IBAN: ES26 2100 1779 5102 0063 0566
- BIC: CAIXESBBXXX (CaixaBank, España)
Protección de Mimecast
Hemos identificado varios atributos en las campañas recientes que se han incorporado a nuestras capacidades de detección. Seguimos vigilando los cambios en las técnicas empleadas por esta operación maliciosa.
Objetivos:
Organizaciones de carácter predominantemente alemán de diversos sectores
IOC
Dominios de envío
bgn-abwicklung[.]de
bgn-bezahlung[.]de
bgn-einzahlung[.]de
bgn-forderung[.]de
bgn-transfer[.]de
bgn-zahlstelle[.]de
bgn-zahlungen[.]de
bzst-abwicklung[.]de
bzst-einzahlung[.]de
bzst-forderung[.]de
bzst-rechnungen[.]de
bzst-zahlung[.]de
Asuntos de los correos electrónicos
Declaración de la renta de 2023: se recomienda comprobar el estado
Recordatorio sobre la presentación de la documentación fiscal de 2023
Información actualizada sobre su declaración de la renta
Resumen de la declaración de la renta de 2023 presentada
Información sobre la declaración de la renta de 2023
Notificación sobre la tramitación de su declaración de la renta
Aviso sobre el incumplimiento del plazo de presentación de la declaración de la renta
Comunicado sobre el estado de presentación de su declaración de la renta
Presentación de su documentación fiscal: breve resumen
Documentación fiscal de 2023: indicaciones complementarias
Recomendaciones
- Formación sobre concienciación de seguridad para usuarios
- Informe a los usuarios sobre los últimos señuelos utilizados en estas campañas
- Realice simulacros de phishing de forma periódica para incluir las amenazas más recientes
- Informe a los usuarios de que nunca deben abrir archivos adjuntos procedentes de remitentes desconocidos o no verificados
- Implemente una política que exija la verificación del remitente a través de un canal de comunicación alternativo antes de abrir archivos adjuntos no esperados
- Caza proactiva de amenazas
- Busque en los registros de recibos de correo electrónico utilizando filtros específicos para los asuntos de los mensajes
- Busque en los registros de recepción de correos electrónicos utilizando filtros específicos para los mensajes procedentes de mail.ru