Lo de Correos con el phishing es, sin duda, una relación de amor-odio. Más concretamente, parece que los ciberdelincuentes adoran a Correos, mientras que la empresa estatal, responsable de prestar el servicio postal universal en España, debe ver cada día con más preocupación y desagrado el modo en el que los cibercriminales llevan a cabo, especialmente estos últimos meses, campañas de engaño empleando su imagen.
El último caso al respecto ha sido detectado por el Instituto Nacional de Ciberseguridad, INCIBE, que ha alertado hoy sobre esta nueva campaña. Según se deduce de la información facilitada por esta entidad, todo apunta a que se trata de una campaña masiva, puesto que alerta sobre el riesgo de que los mensajes falsos de Correos pueden ser recibidos por trabajadores, autónomos y empresas, algo que nos invita a pensar que los particulares también pueden verse afectados.
En esta campaña detectada por INCIBE, el correo electrónico detectado tiene como título “envío N° ES/2938456“, no obstante, y como ya es común en este tipo de acciones, es bastante probable que pueda ser identificado con otros títulos distintos. En el mensaje, se informa al receptor de que ha recibido un paquete que no se ha podido entregar. Además, y obviamente, hay un enlace que supuestamente dirige a la página de Correos, para gestionar la segunda entrega.
Al acceder a dicha página, que suplanta la identidad de Correos, se indica que hay un (corto) plazo límite para gestionar la entrega y recibir el paquete, en caso contrario será eliminado. Recordemos que algo muy común en el phishing y otras técnicas de ciberdelincuencia es urgir al usuario a realizar una acción concreta, intentando motivar que las prisas fuercen a las víctimas a descuidar la seguridad. Desgraciadamente, suele funcionar.
Así, en esa misma página, la víctima se encontrará un formulario en el que debe introducir los datos de pago, pues el segundo intento de entrega tiene, supuestamente, un coste de 2,99 euros. Tras introducirlos y continuar, el usuario será llevado a una nueva página, en la que se suplanta la identidad de RedSys, y en la que se pide al usuario que introduzca el código de seguridad que habrá recibido mediante un mensaje SMS. Finalizada la operación, el usuario es redirigido a la página (ahora ya sí, la legítima) de Correos.
De este modo, por ejemplo, los ciberdelincuentes, si son notificados instantáneamente de que un usuario ha introducido los datos de pago en la primera página, podrán llevar a cabo cualquier operación con los mismos. En ese momento, la entidad bancaria remitirá a la víctima el mensaje SMS con el código de verificación. Claro, el problema es que la víctima se lo remitirá a los atacantes en la segunda web, por lo que éstos podrán validar su operación, sea la que sea.
Una vez más, y como ya es común, no hay que dejar que las prisas nos hagan descuidar la seguridad. Correos no cobra por las segundas entregas, o las realiza sin más, o deja un aviso en la dirección de entrega para que el usuario vaya a recoger el paquete. Y siempre, ante cualquier duda (y mensajes como este deben provocar muchas), lo mejor es contactar con Correos (o con la empresa que esté siendo suplantada) a través de sus canales oficiales, para confirmar si la comunicación es legítima o, como en este y otros muchos casos, se trata de un fraude.
Créditos: Muy Seguridad