DHL: Seguimiento del pedido que roba los datos de tu tarjeta de crédito

Parece claro que los delincuentes han encontrado un filón en la suplantación de empresas de logística para conseguir nuevas víctimas. Incluso antes de que comenzasen las campañas que utilizan SMS para propagar enlaces que redirigen a webs desde donde se descargan aplicaciones maliciosas para dispositivos Android, los correos de phishing haciéndose pasar por este tipo de empresa ya eran una tendencia. Por ese motivo, no nos sorprende seguir detectando correos como el que vamos a analizar hoy.

Un paquete pendiente de entrega

La excusa favorita de los delincuentes que suplantan la identidad de estas empresas de logística es la entrega pendiente de un paquete. Con el auge del comercio online durante el último año como una de las consecuencias de la pandemia, no es extraño que numerosas personas de las que reciben un correo o SMS de este tipo crean que es legítimo.

En esta ocasión nos encontramos ante un email que se hace pasar por DHL, aunque los delincuentes no han personalizado su plantilla y la han dejado en inglés y con el importe pendiente de pago en dólares. Este dato resulta curioso, ya que en anteriores campañas sí que hemos visto como personalizaban este correo para hacerlo más creíble de cara a los usuarios españoles.

En cualquier caso, si un usuario pulsa sobre el enlace proporcionado para, supuestamente, realizar los presuntos trámites para terminar con la entrega del paquete, será redirigido a una web que, esta vez sí, se encuentra traducida en parte en español. Decimos en parte porque en esa misma web podemos observar un banner en alemán e instrucciones e información de contacto en inglés, algo que demostraría que estamos ante una campaña que afecta a usuarios de varios países.

Con respecto a la web en sí, observamos que ha sido registrada en un conocido servicio de hosting ruso que es usado habitualmente por varios grupos de ciberdelincuentes para alojar sus webs fraudulentas y sus amenazas. Además, cuenta con un certificado válido emitido por Let’s Encrypt hace apenas unos días, lo que le permite lucir al lado de la URL el candado confirmando que la conexión entre el dispositivo del usuario y esa web es segura, pero no que la web lo sea, algo que muchos usuarios aún confunden.

Robo de la tarjeta de crédito

En la pantalla anterior podemos observar que se solicitan datos personales del usuario, incluyendo la dirección postal, el teléfono y el correo electrónico. A continuación, es cuando se solicitan los datos de la tarjeta de crédito, incluyendo el nombre impreso en la tarjeta, su número, la fecha de vencimiento y el código CVV. Con esta información, los delincuentes pueden realizar compras cargando el importe en la tarjeta de la víctima o clonarla para sacar dinero en cajeros automáticos.

No obstante, debido a la implementación de medidas de seguridad adicionales por parte de las entidades bancarias, si los delincuentes quieren realizar un cargo a esa tarjeta deben sortear el doble factor de autenticación. Este código temporal de un solo uso suele ser enviado por SMS al dispositivo móvil del usuario y es necesario para confirmar ciertas operaciones bancarias. Por ese motivo se solicita la introducción de dicho código en el siguiente paso, alegando que se trata únicamente del pago de 1,99 euros en concepto de trámites para la recepción del paquete.

Sin embargo, el cargo realizado será mucho más elevado y es posible que la víctima no se dé cuenta hasta que revise los movimientos en la tarjeta. En caso de resultar afectados es imprescindible presentar una denuncia ante la Policía o la Guardia Civil y acudir con ella a nuestra entidad bancaria para tratar de bloquear este cargo o recuperar el dinero sustraído.

Conclusión

Tal y como acabamos de comprobar, las técnicas más sencillas siguen funcionando para obtener datos bancarios de nuevas víctimas. Los delincuentes tan solo necesitan utilizar un gancho lo suficientemente atractivo como cebo para conseguir nuevas víctimas y la suplantación de empresas de logística les está funcionando muy bien. Por ese motivo debemos revisar este tipo de correos y mensajes SMS para asegurarnos de que estamos comunicándonos con la empresa legítima, y nunca introducir información personal o descargar aplicaciones no oficiales en nuestro dispositivo.

Josep Albors

Grupos APT aprovechan las vulnerabilidades de Exchange para secuestrar miles de servidores de correo electrónico