?Correos te pide 1,79€ por SMS para entregarte un paquete? No piques, es una estafa

A veces, los cibercriminales se esfuerzan por crear timos nuevos que nadie conozca. Pero la mayor¨ªa de las veces reciclan una y otra vez los ya usados, a ver si cuelan. En octubre de 2019 os contamos una estafa bancaria que utilizaba la imagen de Correos para intentar sacar dinero a quien picase, a trav¨¦s de un email en el que Correos supuestamente te ped¨ªa que ingresaras una peque?a cantidad de dinero en concepto de ¡°gastos de gesti¨®n de aduanas¡±,porque ten¨ªas un paquete pendiente de ser repartido que se hab¨ªa quedado en la aduana.

Ese mismo timo volvi¨® en diciembre de 2019, a tiempo la Navidad, y luego en abril de 2020 y justo en noviembre del mismo a?o y a inicios de 2022. Y como ya parece un viejo conocido, lo tenemos de nuevo de vuelta.

La estafa de correos por 1,79 euros

El INCIBE, el Instituto Nacional de Ciberseguridad, vuelve a alertar sobre la campa?a de env¨ªo de emails fraudulentos que suplantan la identidad del servicio de Correos. El objetivo es redirigir a la v¨ªctima a una p¨¢gina que simula ser la web leg¨ªtima de Correos, pero que en realidad no lo es (phishing), la cual solicita al usuario realizar un pago de 1.79 euros por los costes del env¨ªo del paquete -el a?o pasado era de 2,99€, c¨®mo se nota la crisis.

El email se env¨ªa desde una cuenta de correo electr¨®nico que no pertenece al servicio leg¨ªtimo de Correos y bajo varios asuntos distintos:

Ejemplo 1:

¡®Su paquete no ha podido ser entregado, porque no se han pagado las tasas de aduanas (1,79€) puede pagar en el siguiente enlace: [URL maliciosa]¡¯

Ejemplo 2:

¡®Su paquete no se ha podido entregar el [XXX] porque no se han pagado las tasas de aduanas (1,79€). Siga las instrucciones: [URL maliciosa]¡¯

Ejemplo 3:

¡®[Correos] Su paquete no se ha podido entregar, no se han cobrado las tasas aduana (1,79€). Puede pagar en este enlace: [URL maliciosa]¡¯

La estafa falsea el domino de Correos para dotar de mayor credibilidad al fraude. De esta forma, el usuario puede pensar que realmente es la entidad leg¨ªtima la que le est¨¢ enviando el correo electr¨®nico -una pr¨¢ctica llamada Mail spoofing.

Hay que fijarse en el lenguaje utilizado en el mensaje, que aunque correcto no se detectan las palabras con tildes y a?ade s¨ªmbolos raros. Es habitual encontrar faltas de ortograf¨ªa y/o redacciones poco cuidadas debidas, en gran parte, al uso de traductores autom¨¢ticos.

Ampliar

Un pago m¨ªnimo

La estafa funciona as¨ª:

Al pulsar sobre el bot¨®n ¡°Encontrara datos aqui¡±, el usuario es redirigido a una p¨¢gina que intenta imitar a la leg¨ªtima, donde se le indica que debe ingresar sus datos y pagar 1,79€ para recibir el paquete. Cabe destacar que los campos del formulario realizan acciones que intentan validar los datos introducidos por el usuario. El objetivo es dar veracidad a la web y no levantar sospechas en el usuario v¨ªctima.

Tras pulsar el bot¨®n de ¡°Confirmar¡±, se redirige al usuario a una p¨¢gina que contiene un formulario donde se solicitan los datos de la tarjeta bancaria: titular, n¨²mero de la tarjeta, caducidad y c¨®digo de seguridad.

Tras pulsar en el bot¨®n ¡°Pagar¡±, el usuario es redirigido a una p¨¢gina con un formulario donde se solicita un c¨®digo que supuestamente le deber¨ªa llegar por SMS. Esta estrategia se utiliza para dotar de mayor credibilidad al proceso de pago y, aunque el SMS nunca lo recibir¨¢, los ciberdelincuentes ya han cumplido su objetivo, que es hacerse con sus datos de la tarjeta bancaria.

Y el pago que solicita, siendo as¨ª de m¨ªnimo de 1.79€, puede provocar ¡°que m¨¢s v¨ªctimas caigan en el enga?o al no suponer un gran coste econ¨®mico para el usuario¡±, sobre todo si est¨¢ en verdad esperando un paquete de una compra online que haya hecho. ?Qu¨¦ sucede si se realiza el pago? No s¨®lo le estar¨¢s dando a los cibercriminales tus datos personales, sino peor a¨²n: tambi¨¦n los bancarios.

Si est¨¢s pendiente del reparto de un paquete y adem¨¢s es con Correos, nunca pagues, porque ninguna empresa env¨ªa por correo electr¨®nico solicitudes de pago donde se soliciten datos personales de sus clientes. Si no est¨¢s seguro, llama a Correos y preg¨²ntales, y te confirmar¨¢n lo mismo que la OSI: que es una estafa.