Se ha detectado una campaña de envío de mensajes de texto a móviles que suplantan la identidad de Correos. El objetivo es redirigir a la víctima a una página falsa (phishing) que simula ser la de Correos, donde le solicitan realizar un pago mínimo de 1€, introduciendo sus datos personales y de tu tarjeta de crédito en un formulario.

Recursos afectados

Cualquier usuario que haya recibido un SMS y haya introducido sus datos en el formulario de la página falsa, donde redirecciona el enlace que aparece en el SMS.


Detalles

Se han identificado diferentes modelos de SMS y URL´s falsas que están suplantando a Correos, pero con el mismo objetivo, engañar al usuario para que facilite sus datos personales y bancarios. La estafa avisa al usuario de que ha habido un supuesto problema con el envío de un paquete.
Las principales características de este phishing son:

  • El SMS enviado se identifica como Correos, Express o Paquete y en algunos casos, se dirige personalmente al usuario mencionando su nombre. Posiblemente esto se deba a que para el envío de SMS masivo se esté utilizando alguna base de datos exfiltrada de algún servicio conteniendo, entre otros, datos, como el nombre y número de teléfono móvil de los usuarios.
  • Las páginas falsas identificadas contienen Certificados SSL. Al ser una URL con https podría aparentar que la transacción que se va a realizar es segura, dotando así de mayor credibilidad al fraude sin levantar sospechas sobre el usuario víctima.
  • Te obliga a validar un Captcha para acceder al formulario, un mecanismo muy utilizado en páginas web para evitar que bots cumplimenten formularios de manera automática.
  • El lenguaje utilizado tanto en los SMS como en la página web es correcto. Un aspecto que la mayoría de phishing no cumplen. Es habitual encontrar faltas de ortografía y/o redacciones poco cuidadas debidas en gran parte al uso de traductores automáticos.
  • El pago que se solicita por Aduanas es mínimo (1€), hecho que posiblemente haga que más víctimas caigan en el engaño al no suponer un gran coste económico al usuario.


Algunos de los SMS detectados en esta campaña maliciosa son:




Al pulsar sobre la URL, redirige al usuario a una web que simula ser Correos, donde se solicita verificar que el usuario no es una máquina.



Tras realizar la verificación, se redirecciona a otra página web donde aparece el formulario donde se solicita introducir los datos personales.



Hasta el momento se ha detectado que las URLs están cambiando constantemente por lo que hay que permanecer en alerta y no confiarse para no caer en el engaño. Además, no se descarta que puedan aparecer nuevos SMS de características similares que intenten engañar a los usuarios con técnicas y tácticas similares a las utilizadas en el caso descrito en este aviso de seguridad.
Es reseñable destacar que las campañas de phishing están evolucionado y cada vez será más habitual encontrar mensajes personalizados y dirigidos al usuario aprovechándose de la gran cantidad de información que los usuarios facilitamos al hacer uso de distintos servicios de Internet.

Solución

Si has recibido un SMS de estas características, has accedido al enlace y has facilitado tus datos personales y los de tu tarjeta bancaria, contacta lo antes posible con tu entidad bancaria para informarles de lo sucedido.

Evita ser víctima de fraudes tipo phishing siguiendo nuestras recomendaciones:

  • No te fíes de mensajes de texto de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  • No contestes en ningún caso a estos mensajes.
  • Ten siempre actualizado el sistema operativo y el antivirus de tu dispositivo. En el caso del antivirus, además se debe comprobar que está activo.
  • En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.


Además, ten siempre en cuenta los siguientes consejos:

  • Escribe directamente la URL de la empresa en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros, en correos electrónicos o mensajes de texto. En este caso en concreto, accediendo a la web oficial de Correos, desde ahí, podrás acceder a servicios como la localización de envíos.
  • No facilites tus datos personales (número de teléfono, nombre, apellidos, dirección o correo electrónico) en cualquier página. Infórmate previamente y lee los textos legales de la página para descartar un posible mal uso de tus datos.
  • No accedas a ningún servicio online que requiera intercambio de información privada o realizar trámites bancarios desde dispositivos públicos o que estén conectados a redes wifi públicas.
  • En caso de acceder a un servicio desde la aplicación de la empresa, revisa que tengas instalada la aplicación legítima y los permisos proporcionados.

MUY IMPORTANTE: ninguna empresa envía por SMS solicitudes de pago, donde se soliciten datos personales de sus clientes. Si recibes un SMS en este sentido, no facilites ningún dato. En caso de dudas, contacta directamente con el proveedor del servicio para asegurarte de la veracidad de la información.


Referencias

Aprendiendo a identificar los 10 phishing más utilizados por ciberdelincuentes
Detectada una campaña de phishing que suplanta a Bankia
Nueva campaña de phishing que suplanta la identidad de PayPal