Si recibes un email de Correos pidi¨¦ndote 2,99€ por un env¨ªo, b¨®rralo

Hay veces en que los cibercriminales se esfuerzan por crear nuevos timos y malware, pero en otros casos no se hace m¨¢s que reutilizar los que ya se conocen, a veces sin cambiar nada. En octubre de 2019 os contamos una estafa bancaria que utilizaba la imagen de Correos para intentar sacar dinero a quien picase, a trav¨¦s de un email en el que Correos supuestamente te ped¨ªa que ingresaras una peque?a cantidad de dinero en concepto de ¡°gastos de gesti¨®n de aduanas¡±, porque ten¨ªas un paquete pendiente de ser repartido que se hab¨ªa quedado en la aduana.

Ese mismo timo volvi¨® en diciembre de 2019, a tiempo la Navidad, y luego en abril de este a?o. Justo cuando pasamos el ecuador de noviembre y estamos a mes y pico de las Navidades 2020, vuelve de nuevo:

La estafa de correos por 2,99 euros

La OSI, Oficina de Seguridad del Internauta, ha detectado la vuelta de la campa?a de env¨ªo de emails fraudulentos que suplantan la identidad del servicio de Correos. El objetivo es redirigir a la v¨ªctima a una p¨¢gina que simula ser la web leg¨ªtima de Correos, pero que en realidad no lo es (phishing), la cual solicita al usuario realizar un pago de 2.99 euros por los costes del env¨ªo del paquete.

El email se env¨ªa desde una cuenta de correo electr¨®nico que no pertenece al servicio leg¨ªtimo de Correos y bajo el asunto ¡°Su paquete ES29***56 esta listo". La estafa falsea el domino de Correos para dotar de mayor credibilidad al fraude. De esta forma, el usuario puede pensar que realmente es la entidad leg¨ªtima la que le est¨¢ enviando el correo electr¨®nico -una pr¨¢ctica llamada Mail spoofing.

Hay que fijarse en el lenguaje utilizado en el mensaje, que aunque correcto no se detectan las palabras con tildes y a?ade s¨ªmbolos raros. Es habitual encontrar faltas de ortograf¨ªa y/o redacciones poco cuidadas debidas, en gran parte, al uso de traductores autom¨¢ticos.

Un pago m¨ªnimo

La estafa funciona as¨ª:

Al pulsar sobre el bot¨®n ¡°Encontrara datos aqui¡±, el usuario es redirigido a una p¨¢gina que intenta imitar a la leg¨ªtima, donde se le indica que debe ingresar sus datos y pagar 2,99€ para recibir el paquete. Cabe destacar que los campos del formulario realizan acciones que intentan validar los datos introducidos por el usuario. El objetivo es dar veracidad a la web y no levantar sospechas en el usuario v¨ªctima.

Tras pulsar el bot¨®n de ¡°Confirmar¡±, se redirige al usuario a una p¨¢gina que contiene un formulario donde se solicitan los datos de la tarjeta bancaria: titular, n¨²mero de la tarjeta, caducidad y c¨®digo de seguridad.

Tras pulsar en el bot¨®n ¡°Pagar¡±, el usuario es redirigido a una p¨¢gina con un formulario donde se solicita un c¨®digo que supuestamente le deber¨ªa llegar por SMS. Esta estrategia se utiliza para dotar de mayor credibilidad al proceso de pago y, aunque el SMS nunca lo recibir¨¢, los ciberdelincuentes ya han cumplido su objetivo, que es hacerse con sus datos de la tarjeta bancaria.

Y el pago que solicita, siendo as¨ª de m¨ªnimo de 2.99€, puede provocar ¡°que m¨¢s v¨ªctimas caigan en el enga?o al no suponer un gran coste econ¨®mico para el usuario¡±, sobre todo si est¨¢ en verdad esperando un paquete de una compra online que haya hecho. ?Qu¨¦ sucede si se realiza el pago? No s¨®lo le estar¨¢s dando a los cibercriminales tus datos personales, sino peor a¨²n: tambi¨¦n los bancarios.

Si est¨¢s pendiente del reparto de un paquete y adem¨¢s es con Correos, nunca pagues, porque ninguna empresa env¨ªa por correo electr¨®nico solicitudes de pago donde se soliciten datos personales de sus clientes. Si no est¨¢s seguro, llama a Correos y preg¨²ntales, y te confirmar¨¢n lo mismo que la OSI: que es una estafa.