El phishing, las campañas en las que un ciberdelincuente entra en contacto con el usuario suplantando a un tercero, como una empresa, para robar datos y dinero, es –desde hace años– una de las herramientas más empleadas por los cibercriminales para atacar a los internautas. Recientemente, la Oficina de Seguridad del Internauta (OSI), dependiente del Instituto Nacional de Ciberseguridad (INCIBE), ha alertado sobre una nueva campaña de este tipo en la que los delincuentes se hacen pasar por Correos para robar datos de la tarjeta de crédito.

Como en tantos otros casos de este tipo, la campaña comienza con un email en el buzón de la presumible víctima. El mensaje es enviado desde una dirección que no tiene parecido alguno con ninguna cuenta oficial de Correos (support@sociedad.es) y lleva por asunto «Su paquete ES29***56 esta listo». En el texto que acompaña, los cibercriminales explican que el usuario va a recibir un paquete, pero para que le llegue en la fecha anunciada es necesario que se realice un pago previo de 2.99 euros.

Imagen del correo con el que comienza el ataque de phishing
Imagen del correo con el que comienza el ataque de phishing – OSI

«El correo electrónico desde el que se envían los correos no es un domino que pertenezca al servicio de Correos, aunque se identifica como Correos y usa su logotipo. En líneas generales la redacción del mensaje es correcta aunque se detectan algunas palabras sin tildes. Es habitual encontrar faltas de ortografía y/o redacción poco cuidadas debidas, en gran parte, al uso de traductores automáticos», explican desde la Oficina de Seguridad del Internauta. Efectivamente, el hecho de que lleve el logotipo de Correos puede llevar a confusión a algunos usuarios.

Sea como fuere, el mensaje viene acompañado por un hipervínculo que redirige al usuario a una página maliciosa diseñada por los ciberatacantes para realizar el pago suplantando de nuevo a Correos. «El objetivo es dar veracidad a la web y no levantar sospechas en el usuario víctima», señalan desde OSI. En un primer momento, la página web fraudulenta solicita al usuario datos como nombre completo, DNI, teléfono y dirección. Con esta información, los criminales podrían realizar nuevas estafas dirigidas contra la víctima. Asimismo, al aportar el teléfono, pueden llevarlas a cabo por otras vías; como SMS, llamada o mensajes de WhatsApp.

Una vez se aportan estos datos, la página solicita que se haga click en el botón de «Confirmar», ubicado en la esquina inferior izquierda del mensaje. A continuación, el usuario es redirigido a otra página en la que, esta vez sí, se le solicita toda la información necesaria de la tarjeta de crédito para realizar pagos en internet: titular, número de la tarjeta, caducidad y código de seguridad.

«Tras pulsar en el botón “Pagar”, el usuario es redirigido a una página con un formulario donde se solicita un código que supuestamente le debería llegar por SMS. Esta estrategia se utiliza para dotar de mayor credibilidad al proceso de pago y, aunque el SMS nunca lo recibirá, los ciberdelincuentes ya han cumplido su objetivo, que es hacerse con sus datos de la tarjeta bancaria», apuntan desde OSI.

correos-kQ0E--620x349@abc