Hay amenazas que son recurrentes y que regresan cada cierto tiempo para tratar de conseguir nuevas víctimas. Muchas de ellas suplantan a empresas y organismos conocidos por la gran mayoría de usuarios, tal y como hacen algunos troyanos bancarios con las empresas de logística. Sin embargo, además de estas empresas y de las entidades bancarias hay otro tipo de empresas como son las distribuidoras de energía que también suelen ser usadas, tal y como vamos a ver a continuación.
Factura pagada dos veces
Cuando se suplanta a este tipo de empresas los delincuentes suelen mencionar un fallo en el cobro de la factura o un cargo exageradamente elevado. Es una técnica que suele funcionar con bastantes usuarios y es que a ninguno nos gusta que nos cobren más dinero del necesario. Estos mensajes pueden estar mejor o peor elaborados dependiendo de la campaña analizada y pueden hasta incluir el logo de la empresa suplantada. En esta ocasión, los delincuentes han optado por una aproximación más directa y tan solo mencionan el nombre de Endesa en el cuerpo del mensaje y en la dirección de email utilizada para enviar este correo, dirección que proviene realmente de otro dominio sin relación con esta empresa.
No es la primera vez que vemos como los delincuentes utilizan el nombre de esta conocida empresa para propagar sus amenazas. Ya en 2016 vimos como usaron una supuesta factura como gancho para infectar a sus víctimas con ransomware. También los delincuentes detrás de las campañas de troyanos bancarios con origen en Latinoamérica han utilizado su nombre para el envío de correos con enlaces maliciosos. Además, durante el año pasado también analizamos casos de phishing muy similares al que vamos a revisar hoy.
En el caso de que un usuario que reciba este correo pulse sobre el enlace proporcionado para, supuestamente, confirmar el reembolso por haberle cobrado una factura dos veces, será redirigido a una web con una apariencia bastante bien elaborada que puede hacer pensar a primera vista de que estamos ante un sitio web oficial de la empresa suplantada.
En esta web encontramos un formulario en el que se nos solicitan una serie de datos personales como el teléfono o el nombre completo, además de toda la información relacionada con la tarjeta de crédito. El usuario que introduzca esta información puede pensar que es algo necesario para proceder al reembolso del importe de la factura supuestamente cobrada por partida doble y no dudará a la hora de proporcionar estos datos.
Sin embargo, aquellos usuarios más desconfiados ya habrán notado algo sospechoso en esa web, no solo por el formulario y los datos solicitados, sino por la dirección URL en la que está alojado y que no se corresponde con una web corporativa de ENDESA. De hecho, si comprobamos su certificado de seguridad podemos observar como este fue solicitado hace pocos días y que lo otorgó el servicio gratuito Let’s Encrypt, algo muy extraño tratándose de una empresa como esta.
Intento de robo
En el caso de que se hayan introducido los datos solicitados por los delincuentes, estos procederán a realizar algún tipo de cobro con cargo a la tarjeta de crédito introducida. La cantidad de estos cobros puede variar, pero normalmente suele ser de unos cuantos cientos de euros y recordemos que, hasta este punto, el usuario piensa que van a ingresarle un reembolso de una factura cobrada por partida doble.
Precisamente, las entidades bancarias vienen incorporando desde hace tiempo medidas adicionales de seguridad para dificultar este tipo de delitos. Sin embargo, los delincuentes también se han adaptado y suelen introducir uno o varios pasos adicionales en sus ataques de phishing para tratar de sortearlas.
Una de las formas más efectivas de obtener los códigos de verificación que permiten realizar los cargos en la tarjeta es sencillamente preguntando a la víctima por ese código recibido normalmente mediante SMS. Por extraño que parezca, no son pocos los usuarios que muerden el anzuelo y lo introducen en el campo preparado por los delincuentes para que puedan realizar el cargo fraudulento en su tarjeta.
De hecho, en este paso se ha introducido un apunte donde se indica que se va a realizar un pequeño cargo en la tarjeta para comprobar que esta es válida y que si se cobra una cantidad más elevada es por un error de su entidad bancaria. De esta forma, algunos usuarios pueden ver hasta normal que se realice un cargo de una cantidad bastante alta y no se preocupan hasta que ya es demasiado tarde y los delincuentes ya le han robado el dinero.
Conclusión
A pesar de estar ante una campaña que hemos visto repetirse en varias ocasiones durante el último año, parece que los delincuentes siguen obteniendo víctimas y, por ese motivo, vuelven a emplear la misma táctica sin realizar apenas cambios. Por ese motivo, debemos permanecer atentos cuando recibimos este tipo de correos y, ante cualquier duda, consultar previamente con la empresa cuyo nombre aparece en el correo antes de pulsar sobre cualquier enlace proporcionado o abrir posibles ficheros adjuntos.