Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

Suplantan la identidad de Correos a través de SMS

Fecha de publicación 18/10/2019
Importancia
5 - Crítica
Recursos Afectados

Cualquier usuario que haya recibido un SMS y haya introducido sus datos en el formulario de la página falsa, donde redirecciona el enlace que aparece en el SMS.

Descripción

Se ha detectado una campaña de envío de mensajes de texto a móviles que suplantan la identidad de Correos. El objetivo es redirigir a la víctima a una página falsa (phishing) que simula ser la de Correos, donde le solicitan realizar un pago mínimo de 1€, introduciendo sus datos personales y de tu tarjeta de crédito en un formulario.

Solución

Si has recibido un SMS de estas características, has accedido al enlace y has facilitado tus datos personales y los de tu tarjeta bancaria, contacta lo antes posible con tu entidad bancaria para informarles de lo sucedido.

Evita ser víctima de fraudes tipo phishing siguiendo nuestras recomendaciones:

  • No te fíes de mensajes de texto de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  • No contestes en ningún caso a estos mensajes.
  • Ten siempre actualizado el sistema operativo y el antivirus de tu dispositivo. En el caso del antivirus, además se debe comprobar que está activo.
  • En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.

Además, ten siempre en cuenta los siguientes consejos:

  • Escribe directamente la URL de la empresa en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros, en correos electrónicos o mensajes de texto. En este caso en concreto, accediendo a la web oficial de Correos, desde ahí, podrás acceder a servicios como la localización de envíos. Imagen web real correos
  • No facilites tus datos personales (número de teléfono, nombre, apellidos, dirección o correo electrónico) en cualquier página. Infórmate previamente y lee los textos legales de la página para descartar un posible mal uso de tus datos.
  • No accedas a ningún servicio online que requiera intercambio de información privada o realizar trámites bancarios desde dispositivos públicos o que estén conectados a redes wifi públicas.
  • En caso de acceder a un servicio desde la aplicación de la empresa, revisa que tengas instalada la aplicación legítima y los permisos proporcionados.

MUY IMPORTANTE: ninguna empresa envía por SMS solicitudes de pago, donde se soliciten datos personales de sus clientes. Si recibes un SMS en este sentido, no facilites ningún dato. En caso de dudas, contacta directamente con el proveedor del servicio para asegurarte de la veracidad de la información.

Detalle

Se han identificado diferentes modelos de SMS y URL´s falsas que están suplantando a Correos, pero con el mismo objetivo, engañar al usuario para que facilite sus datos personales y bancarios. La estafa avisa al usuario de que ha habido un supuesto problema con el envío de un paquete.

Las principales características de este phishing son:

  • El SMS enviado se identifica como Correos, Express o Paquete y en algunos casos, se dirige personalmente al usuario mencionando su nombre. Posiblemente esto se deba a que para el envío de SMS masivo se esté utilizando alguna base de datos exfiltrada de algún servicio conteniendo, entre otros, datos, como el nombre y número de teléfono móvil de los usuarios.
  • Las páginas falsas identificadas contienen Certificados SSL. Al ser una URL con https podría aparentar que la transacción que se va a realizar es segura, dotando así de mayor credibilidad al fraude sin levantar sospechas sobre el usuario víctima.
  • Te obliga a validar un Captcha para acceder al formulario, un mecanismo muy utilizado en páginas web para evitar que bots cumplimenten formularios de manera automática.
  • El lenguaje utilizado tanto en los SMS como en la página web es correcto. Un aspecto que la mayoría de phishing no cumplen. Es habitual encontrar faltas de ortografía y/o redacciones poco cuidadas debidas en gran parte al uso de traductores automáticos.
  • El pago que se solicita por Aduanas es mínimo (1€), hecho que posiblemente haga que más víctimas caigan en el engaño al no suponer un gran coste económico al usuario.

Algunos de los SMS detectados en esta campaña maliciosa son:

Ejemplo de uno de los mensajes de SMS utilizados

Ejemplo de otro de los mensajes de SMS utilizados

Al pulsar sobre la URL, redirige al usuario a una web que simula ser Correos, donde se solicita verificar que el usuario no es una máquina.

Uso del plugin de Recaptcha para dar credibilidad a la web falsa

Tras realizar la verificación, se redirecciona a otra página web donde aparece el formulario donde se solicita introducir los datos personales.

Imagen de la pantalla de pago de la cantidad reclamada en la estafa

Hasta el momento se ha detectado que las URLs están cambiando constantemente por lo que hay que permanecer en alerta y no confiarse para no caer en el engaño. Además, no se descarta que puedan aparecer nuevos SMS de características similares que intenten engañar a los usuarios con técnicas y tácticas similares a las utilizadas en el caso descrito en este aviso de seguridad.

Es reseñable destacar que las campañas de phishing están evolucionado y cada vez será más habitual encontrar mensajes personalizados y dirigidos al usuario aprovechándose de la gran cantidad de información que los usuarios facilitamos al hacer uso de distintos servicios de Internet.

Etiquetas