Cuidado con los correos maliciosos dirigidos a usuarios del servicio Factel de Telefónica

Cuando los delincuentes utilizan el correo electrónico como vector de propagación, casi siempre intentan conseguir el mayor número de víctimas posible. No obstante, de vez en cuando nos topamos con alguna campaña que va especialmente dirigida a un grupo en concreto o utiliza como excusa un servicio utilizado por solo algunos usuarios.

Tenemos unos cuantos casos de este tipo de campañas de propagación de malware, algunos con un éxito abrumador para los delincuentes como el caso de los emails que suplantaban la identidad de Correos y Endesa. No obstante, el caso que vamos a tratar hoy es un poco más especial y menos generalista.

La factura falsa de Telefónica

A primera vista, el correo malicioso recibido en esta ocasión no llama mucho la atención, especialmente si lo comparamos con los casos que hemos comentado en otras ocasiones. No se utilizan imágenes ni logotipos de empresa que lo identifiquen y se limita a poner unas pocas líneas de texto acompañados de enlaces a sitios web legítimos.

Los usuarios más avispados ya se habrán dado cuenta de que se trata de un correo sospechoso por varios motivos. La ausencia de logotipos corporativos puede ser uno de ellos, pero más importante aun es fijarse en el detalle de que todas las palabras con tilde o caracteres propios del idioma español como la eñe contienen una serie de caracteres en lugar de dicha letra.

Esto nos puede indicar que el correo ha sido escrito con una codificación de caracteres distinta a los que tenemos el español configurado en nuestro sistema. De hecho, la siguiente comprobación nos va a ayudar a identificar este mensaje como fraudulento. Para ello vamos a revisar sus cabeceras para ver si el remitente proporcionado tiene relación con el origen real del mensaje.

Como observamos en la imagen, los delincuentes detrás del envío de esta falsa factura nos quieren hacer creer que el correo ha salido de un servidor de Telefónica. Sin embargo, el “Message ID” los delata y vemos que el correo ha salido realmente de un servidor perteneciente a uno de los proveedores de Internet más importantes de Japón.

Todo apunta a que los delincuentes han usado a víctimas previamente infectadas (no solo de Japón) para el envío masivo de estos correos, aunque se han preocupado de modificar el email que aparece como remitente para tratar de darle un toque de legitimidad a su engaño y hacer que los usuarios confíen en el fichero adjunto que se menciona en el cuerpo del mensaje.

Apuntando a usuarios de Factel

Lo realmente llamativo de este caso que estamos analizando es que los delincuentes están utilizando como gancho un servicio que, si bien la mayoría de usuarios desconocen, han usado o siguen utilizando muchos autónomos y empresas españolas. Estamos hablando de Factel, un software que, según su propio manual de usuario, funciona como una herramienta informática suministrada por Telefónica de España a sus clientes para facilitarles la consulta y el análisis de su facturación.

Cabe destacar que Factel lleva tiempo siendo reemplazado por otros servicios más modernos y sofisticados, y que, según vemos en la web oficial de descargas, la versión más reciente (Factel5) data de abril de 2013. Es, por tanto, un sistema en desuso pero que seguramente aún cuente con una base importante de usuarios, lo suficientemente grande como para que los delincuentes los tengan en cuenta y creen una campaña orientada a ellos (y a todos los que muerdan el anzuelo, claro está).

Lo importante en este caso es que los delincuentes conocen bien el funcionamiento de Factel, puesto que los usuarios de esta aplicación reciben periódicamente un fichero con información relacionada con su facturación telefónica, ya sea mediante medios físicos como un CD-ROM o a través de Internet. Este fichero es interpretado posteriormente por el programa y permite al usuario consultar sus facturas.

Por eso mismo, no es extraño que un usuario que es o ha sido usuario de Factel abra el fichero comprimido que se adjunta con el correo malicioso, puesto que está acostumbrado a que el procedimiento habitual sea muy similar. Es aquí donde radica el peligro de este tipo de campañas, puesto que, a pesar de acotar mucho sus objetivos, el porcentaje de éxito es mayor al habitual.

Conclusión

Este ejemplo nos sirve perfectamente para comprobar que los delincuentes siguen intentando mejorar sus porcentajes de éxito al utilizar un vector de ataque tan clásico como es el correo electrónico. En esta ocasión les ha fallado el formato del mensaje, algo que puede hacer sospechar a los usuarios más precavidos, pero debemos estar alerta por si se corrigen los fallos que permiten identificar el correo como malicioso.

Además, nos ha sorprendido que se haya utilizado el sistema Factel como excusa para convencer a la víctima de que abra el fichero malicioso adjunto, puesto que es algo desconocido para la mayoría de usuarios. No obstante, demuestra una labor de investigación bastante importante para identificar posibles víctimas usando ataques parcialmente dirigidos.

Ante este tipo de correos cabe extremar las precauciones y desconfiar si vemos algo extraño en su formato, la cabecera o el propio fichero adjunto (usando un ejecutable en lugar de la extensión habitual). Si además contamos con una solución de seguridad capaz de detectar este tipo de amenazas, será difícil que los delincuentes consigan comprometer nuestra seguridad.

Josep Albors

7 consejos para proteger tu información personal