El SMS falso de Correos que debes borrar: No tienes que pagar aduanas de un env¨ªo

Hay veces en que los cibercriminales se esfuerzan por crear nuevos timos y malware, pero en otros casos no se hace m¨¢s que reutilizar los que ya se conocen, a veces sin cambiar nada. En octubre de 2019 os contamos una estafa bancaria que utilizaba la imagen de Correos para intentar sacar dinero a quien picase, a trav¨¦s de un email en el que Correos supuestamente te ped¨ªa que ingresaras una peque?a cantidad de dinero en concepto de ¡°gastos de gesti¨®n de aduanas¡±, porque ten¨ªas un paquete pendiente de ser repartido que se hab¨ªa quedado en la aduana.

Ese mismo timo volvi¨® en diciembre de 2019, a tiempo la Navidad, y luego en abril de 2020 y justo en noviembre del mismo a?o. Y como le hemos echado de menos, pues vuelve justo para iniciar 2022.

La estafa de correos por 1,79 euros

La OSI, Oficina de Seguridad del Internauta, ha detectado la vuelta de la campa?a de env¨ªo de emails fraudulentos que suplantan la identidad del servicio de Correos. El objetivo es redirigir a la v¨ªctima a una p¨¢gina que simula ser la web leg¨ªtima de Correos, pero que en realidad no lo es (phishing), la cual solicita al usuario realizar un pago de 1.79 euros por los costes del env¨ªo del paquete -el a?o pasado era de 2,99€, c¨®mo se nota la crisis.

El email se env¨ªa desde una cuenta de correo electr¨®nico que no pertenece al servicio leg¨ªtimo de Correos y bajo varios asuntos distintos:

Ejemplo 1:

¡®Su paquete no ha podido ser entregado, porque no se han pagado las tasas de aduanas (1,79€) puede pagar en el siguiente enlace: [URL maliciosa]¡¯

Ejemplo 2:

¡®Su paquete no se ha podido entregar el [XXX] porque no se han pagado las tasas de aduanas (1,79€). Siga las instrucciones: [URL maliciosa]¡¯

Ejemplo 3:

¡®[Correos] Su paquete no se ha podido entregar, no se han cobrado las tasas aduana (1,79€). Puede pagar en este enlace: [URL maliciosa]¡¯

La estafa falsea el domino de Correos para dotar de mayor credibilidad al fraude. De esta forma, el usuario puede pensar que realmente es la entidad leg¨ªtima la que le est¨¢ enviando el correo electr¨®nico -una pr¨¢ctica llamada Mail spoofing.

Hay que fijarse en el lenguaje utilizado en el mensaje, que aunque correcto no se detectan las palabras con tildes y a?ade s¨ªmbolos raros. Es habitual encontrar faltas de ortograf¨ªa y/o redacciones poco cuidadas debidas, en gran parte, al uso de traductores autom¨¢ticos.

Un pago m¨ªnimo

La estafa funciona as¨ª:

Al pulsar sobre el bot¨®n ¡°Encontrara datos aqui¡±, el usuario es redirigido a una p¨¢gina que intenta imitar a la leg¨ªtima, donde se le indica que debe ingresar sus datos y pagar 1,79€ para recibir el paquete. Cabe destacar que los campos del formulario realizan acciones que intentan validar los datos introducidos por el usuario. El objetivo es dar veracidad a la web y no levantar sospechas en el usuario v¨ªctima.

Tras pulsar el bot¨®n de ¡°Confirmar¡±, se redirige al usuario a una p¨¢gina que contiene un formulario donde se solicitan los datos de la tarjeta bancaria: titular, n¨²mero de la tarjeta, caducidad y c¨®digo de seguridad.

Tras pulsar en el bot¨®n ¡°Pagar¡±, el usuario es redirigido a una p¨¢gina con un formulario donde se solicita un c¨®digo que supuestamente le deber¨ªa llegar por SMS. Esta estrategia se utiliza para dotar de mayor credibilidad al proceso de pago y, aunque el SMS nunca lo recibir¨¢, los ciberdelincuentes ya han cumplido su objetivo, que es hacerse con sus datos de la tarjeta bancaria.

Y el pago que solicita, siendo as¨ª de m¨ªnimo de 1.79€, puede provocar ¡°que m¨¢s v¨ªctimas caigan en el enga?o al no suponer un gran coste econ¨®mico para el usuario¡±, sobre todo si est¨¢ en verdad esperando un paquete de una compra online que haya hecho. ?Qu¨¦ sucede si se realiza el pago? No s¨®lo le estar¨¢s dando a los cibercriminales tus datos personales, sino peor a¨²n: tambi¨¦n los bancarios.

Si est¨¢s pendiente del reparto de un paquete y adem¨¢s es con Correos, nunca pagues, porque ninguna empresa env¨ªa por correo electr¨®nico solicitudes de pago donde se soliciten datos personales de sus clientes. Si no est¨¢s seguro, llama a Correos y preg¨²ntales, y te confirmar¨¢n lo mismo que la OSI: que es una estafa.