Cuidado: un nuevo y sofisticado intento de 'phishing' utiliza SMS de Correos para estafar [ACTUALIZADO]

Cuidado: un nuevo y sofisticado intento de 'phishing' utiliza SMS de Correos para estafar [ACTUALIZADO]

38 comentarios Facebook Twitter Flipboard E-mail
Cuidado: un nuevo y sofisticado intento de 'phishing' utiliza SMS de Correos para estafar [ACTUALIZADO]

Los intentos de phishing son cada vez más sofisticados. Si en el pasado era sencillo identificar uno por sus faltas de ortografía, diseño pobre y lenguaje extraño, hoy ya están en funcionamiento otros mucho más difíciles de reconocer. En las últimas 24 horas ha comenzado a circular un SMS de phishing que se hace pasar por Correos, donde se nos reclama el pago de aduanas para recibir un paquete. Estamos ante un uso fraudulento del sistema de SMS de la compañía. Te contamos cómo es y por qué debes evitarlo.

'Phishing' mediante SMS de Correos, así es la nueva estafa

estafa sms correos

Durante la tarde de ayer recibí un SMS en mi iPhone indicándome que había un paquete pendiente de entrega por estar retenido en la Aduana. En concreto, decía así (hemos recortado la URL para no mostrarla al completo):

Estimado cliente, su paquete no se ha podido entregar el 11/10 porque no se han pagado las tasas de aduana (€ 1). Siga las instrucciones: http://f60.me/

Como puede verse, es un mensaje de texto sin faltas de ortografía y con gramática correcta. En un primer momento dudé porque no recordaba estar esperando un paquete desde fuera de España. Sin embargo, hubo un aspecto del mensaje que me convenció: el remitente era Correos. Este mensaje me había llegado a una misma "conversación" que ya había tenido en el pasado con la compañía, por lo que gozaba de su confianza (ver primera captura inferior).

phishing correos sms

En un primer momento pulsé en el enlace para ver de qué se trataba, pero la web no cargaba. Ahí empezaron mis dudas. Esta mañana he vuelto a cargarlo por curiosidad y sí ha funcionado. Me ha llevado a una web con el logo de Correos, un título que dice "Pago de tasas de aduana" y un captcha.

sms correos android
SMS similar pero recibido en un teléfono Android. La estafa es independiente de la plataforma del usuario.

En el siguiente paso, te piden tus datos personales y, lo que es más importante, los datos de tu tarjeta de crédito. Como es obvio, me he detenido aquí porque sospechaba por completo del SMS. Pero, ¿cuáles han sido las razones de que me llamase la atención este intento de phishing?

Cómo funciona esta estafa de Correos

correos

Volviendo a las capturas superiores, la reacción que todos deberíamos tener es mirar si las URL tienen algún tipo de cosa extraña. Lo primero es mirar si tienen candado, un recurso de seguridad web que indica que el propietario tiene un certificado de seguridad válido para realizar transacciones web.

Lo curioso es que este ataque sí que muestra el candado en la URL. Aunque desde el iPhone no se puede consultar el certificado, desde Safari para macOS sí que podemos ver los detalles:

Certificado Ssl Correos

Es un certificado SSL auténtico (necesario para los dominios seguros "https"), proporcionado por Cloudflare y con fecha de expiración 3 de octubre de 2020. Pero debemos cuidarnos de la propia URL, porque ambas son altamente sospechosas:

  • https://correos.es.packageupdate.club
  • https://es.impressiveprize.com/

Ambas webs con certificado SSL y https. Pero su dominio refleja algo raro, que es lo que verdaderamente delata la estafa. En el primero vemos "correos.es" como parte de un subdominio "packageupdate.club" para darle veracidad a que es de la empresa Correos. Y el segundo dominio ya promete con su "impressiveprize" o "premio alucionante".

En cuanto al SMS, vemos de nuevo que no estamos ante el típico ataque de phishing. La manera mediante la que los estafadores podrían haberlo conseguido es mediante SMS Spoofing, donde el remitente se camufla como uno auténtico. Sea cual sea el método, es una manera perfecta de darle autenticidad a la estafa.

Qué puedes hacer para no caer en la estafa

Este ataque de phishing no es exclusivo de usuarios de Apple, parece que es aleatorio e independiente del tipo de dispositivo. Pero al final, lo que tenemos es una estafa de lo más sofisticada:

  • SMS enviado por la propia Correos para darle autenticidad.
  • Certificados SSL y https para mostrar un candado de transacciones seguras.
  • Captcha incluido.
  • Gráficos y lenguaje creíble.
  • Señuelo de un paquete atrapado en Aduanas al que habría que pagar solo 1 euro.

Conseguir todos estos elementos juntos da mucha veracidad a la estafa, pero no deja de ser un ataque de phishing muy difícil de identificar. Lo más sencillo que puedes hacer ahora que sabes cómo funciona y qué es, si recibes el SMS de Correos no abras el enlace. Por norma general, no deberías abrir enlaces cuando desconozcas el origen del remitente.

Desde luego, resulta cada vez más difícil reconocer un intento de phishing online.

Comentarios cerrados
Inicio