Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Campaña de phishing suplantando a Correos: no tienes una notificación pendiente

Fecha de publicación 24/11/2020
Importancia
4 - Alta
Recursos Afectados

Cualquier empleado, autónomo o empresa que reciba un correo suplantando a la entidad Correos y Telégrafos, como el descrito a continuación.

Descripción

La campaña de suplantación (phishing) a Correos trata de engañar al usuario para robarle sus datos bancarios con el pretexto de una notificación pendiente de leer.

En la campaña identificada desde INCIBE, el correo que suplanta al grupo Correos tiene como asunto “? Queremos informarle que tiene una nueva notificación. “.

En el cuerpo del mensaje se informa de una supuesta notificación que puede ser consultada en el enlace que facilitan los ciberdelincuentes. Para hacerlo más creíble, el correo aparece firmado por el "Director de Relaciones con el Cliente"

Una vez que se ha seleccionado el enlace que figura en el correo, se redirige al usuario a una web falsa que nada tiene que ver con el servicio legítimo de Correos donde los ciberdelincuentes intentaran robar su información bancaria.

Solución

Se recomienda verificar que el remitente del correo coincide con la empresa que supuestamente lo envía, prestando especial atención a las direcciones que aparecen en la barra de navegación tras hacer clic en los enlaces, además, antes de facilitar algún dato personal o bancario a través de un enlace, es preferible recurrir directamente a la página web legítima de Correos, verificando que utilice canales de comunicación seguros (https) y su certificado sea correcto, para posteriormente confirmar posibles notificaciones o en caso de duda, contactar telefónicamente con ellos.

 

Si por el contrario has realizado el pago a través del enlace facilitado, contacta con tu entidad bancaria para informarles de la situación. Recopila todas las pruebas de las que dispongas (capturas de pantalla, e-mail, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia.

Como pautas generales, para evitar ser víctima de fraudes de este tipo se recomienda:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Detalle

En el correo, el ciberdelincuente indica que esta disponible una nueva notificación. A diferencia de otros correos en el mismo no indica nada acerca de un posible pago, sin embargo, tras hacer clic en el enlace, se redirige al usuario a una web falsa que simula ser del grupo Correos, en la cual deberemos pagar 2’99€ para poder acceder a modificar dicha notificación. Cabe destacar que este tipo de correos suelen contener faltas de ortografía o errores gramaticales, por lo que es recomendable prestar especial atención a los detalles y no pasarlos por alto. En este caso, podemos comprobar cómo tanto el asunto, como el inicio del cuerpo del mensaje comienzan con una “?”, evidencia clara de que se trata de un correo falso, pues una entidad de confianza no comete fallos ortográficos. Además para dar más credibilidad a la comunicación la dirección del remitente simula proceder de correos, cuando en realidad no es así.

Aviso de seguridad 24/11/2020 - Phishing Correos

Cabe la posibilidad de que en posteriores campañas, tanto el asunto, como el cuerpo del mensaje puedan sufrir leves variaciones,, aunque el "modus operandi" será similar.

Como veremos a continuación, estos son los pasos solicitados por los ciberdelincuentes para engañar al usuario:

Aviso de seguridad 24/11/2020 - Phishing Correos

Al seleccionar el enlace: “Consultar”, se solicita el pago de 2,99€ en una supuesta web falsa que solicita datos personales y bancarios.

Aviso de seguridad 24/11/2020 - Phishing Correos

A continuación, para hacerlo más creíble, simulan la validación de los datos facilitados con el logotipo de Correos.

Aviso de seguridad 14/09/2020 - Introducir código SMS correos

Finalmente, los ciberdelincuentes simulan una conocida pasarela de pago para que la víctima facilite la clave SMS recibida en su dispositivo móvil y de esta forma poder tener acceso completo al proceso de pago.

Tras indicar el código SMS, la página vuelve a cargarse indefinidamente, aunque se vuelva a indicar el código sin mostrar ningún otro tipo de mensaje al usuario, pues los ciberdelincuentes, ya han logrado su objetivo.

Línea de ayuda en ciberseguridad 017