Hacerse pasar por una administración pública es una de las tácticas favoritas de los ciberdelincuentes ya que saben que los usuarios suelen ser más propensos a caer en la trampa. A lo largo de los años hemos visto como estas campañas de suplantación han ido mejorando para que resulten más difíciles de detectar y conseguir así nuevas víctimas, campañas como la que se ha estado observando recientemente haciéndose pasar por la aplicación “Mi carpeta ciudadana”.
En un correo que se ha estado propagando durante los últimos días los delincuentes tratan de convencer a los usuarios (tanto empresas como particulares) de que se les ha concedido un abono por un valor interesante y que para reclamarlo solo deben acceder al área personal de “Mi Carpeta Ciudadana”.
Para quien aún no lo sepa, “Mi Carpeta Ciudadana” es un portal oficial pensado para facilitar la relación de los ciudadanos con las Administraciones Públicas y se puede acceder tanto a través de su página web oficial como de las aplicaciones diseñadas para Android e iOS. Los delincuentes están suplantando la identidad de este servicio para tratar de convencer a los usuarios parea que accedan a una página maliciosa que han preparado.
En la siguiente imagen podemos ver, a la izquierda, el portal falso que
han preparado los delincuentes, mientras que a la derecha podemos ver la web
legítima donde ya se muestra un aviso de esta campaña de correos maliciosos
para evitar que la gente caiga en la trampa.
Cabe decir que los delincuentes han intentado que la apariencia de la web fraudulenta sea lo más creíble posible, copiando el estilo y los logos de la web legítima. El dominio, no obstante, no tienen nada que ver con la Administración Pública española y fue recientemente registrado en la Isla de Mann.
También podemos observar como la web fraudulenta contiene un certificado legítimo, lo que le otorga el conocido como “Candado de seguridad”. Debemos recordar que esto solo garantiza que la comunicación entre el dispositivo del usuario y la web se encuentra cifrada, no que la web sea segura.
Una vez la víctima accede a la web fraudulenta y selecciona una de las
opciones disponibles (Ciudadano o empresa) se le presentan varias páginas
consecutivas donde se solicitan datos personales como el nombre, dirección
postal teléfono o número de identificación.
Aunque esta información puede resultar útil a los delincuentes para
preparar campañas más dirigidas contra aquellos usuarios que proporcionen sus
datos, la finalidad principal es conseguir los datos de las cuentas bancarias
de sus víctimas. Para ello primero tratan de convencer a los usuarios de que
van a ingresarles la cantidad indicada en el correo as u cuenta bancaria y, por
ello, les solicitan el número IBAN de la cuenta donde quieren que se realice el
ingreso.
A partir de este punto, y dependiendo del número de cuenta introducido, se generará un nuevo paso donde, ya con el nombre de la entidad bancaria, se solicita al usuario que introduzca la contraseña de acceso para poder ingresar al servicio de banca online. Debido a que muchos usuarios de banca online mantienen su DNI como nombre de usuario y este dato ya ha sido solicitado en un paso previo, los delincuentes ya tendrían la información necesaria para entrar, revisar el saldo y tratar de realizar una transferencia a una cuenta controlada, muy probablemente, por un mulero que le reenviará el dinero a cambio de una comisión.
En esta investigación no mostramos los pasos que faltan y que consisten en realizar el intento de transferencia desde la cuenta de la víctima y solicitarle el código de verificación que suele enviársele al móvil. Entendemos que, una vez solicitada la transferencia y, puesto que los delincuentes ya disponen de su número de teléfono, se pondrán en contacto con la víctima para pedirle ese código de verificación alegando que es necesario para realizar el abono prometido en el correo electrónico.
Este es un caso más de estafa que ha ido evolucionando con el paso del tiempo y aunque, en esencia, mantiene su forma de proceder, con el paso de los años los delincuentes han ido perfeccionando su técnica y las plantillas de correo y webs usadas para resultar más convincentes.
Para evitar caer en este tipo de trampas es importante aprender a reconocer las, cada vez más elaboradas plantillas que utilizan los delincuentes para tratar de engañarnos, así como contar con soluciones de seguridad que sean capaces de detectar y clasificar como SPAM este tipo de campañas.