La utilización de supuestos envíos de paquetería para atraer el interés de las personas y conseguir que pinchen sobre un enlace o descarguen una aplicación maliciosa sigue siendo un buen gancho que los delincuentes no dudan en aprovechar. Sin embargo, tampoco es extraño ver cómo, de vez en cuando, alguna de estas campañas trata de innovar para tratar de resultar más convincente, añadiendo, como en este caso, alguna característica peculiar.
Un correo que nos incita a comenzar un chat
El método utilizado para iniciar la comunicación con la posible víctima es el ya común correo electrónico que nos invita a realizar el seguimiento de un paquete, adjuntando un enlace para iniciar un chat bot para programar la entrega. Salvo este detalle, que ya se ha observado en alguna ocasión anterior, nada especialmente diferente a la mayoría de los correos de este tipo vistos en los últimos meses.
Con respecto al correo electrónico, vemos que dice provenir desde una dirección oficial de Correos España, algo que puede resultar suficiente para la mayoría de usuarios al pensar que se trata de un email legítimo. Sin embargo, con solo echar un vistazo a la cabecera del mensaje se puede comprobar que la autenticación del remitente falla al hacerse pasar por una dirección legítima de Correos España y que la dirección de origen es bien distinta.
Este fallo en la autenticación puede servir para que el mensaje sea catalogado como spam en muchos servidores de correo, pero siempre cabe la posibilidad de que alguno llegue a la bandeja de entrada de un usuario y que este, curioso por ver de qué envío se trata, pulse sobre enlace proporcionado.
A vueltas con el chat bot
Al pulsar sobre el enlace, se redirige al usuario a una web preparada por los delincuentes para suplantar al servicio postal español. Esta web está alojada en un dominio que nada tiene que ver con Correos España y que ha sido registrada hace menos de un mes, y en ella tan solo nos encontramos el logo de la empresa y un bot que, nada más conectarnos, empieza a comunicarse con nosotros.
Como vemos, la conversación está bien realizada y es perfectamente factible que un usuario promedio pueda pensar que está hablando con un chat bot oficial que quiere resolverle sus dudas respecto a la entrega de un supuesto paquete. Por si fuera poco, si seguimos con la conversación, vemos como se muestra la imagen de un paquete pendiente de entrega para darle más credibilidad al engaño.
Una vez llegados a este punto, se nos pregunta si queremos recibir el paquete en una dirección privada o comercial para, a continuación, explicarnos que, debido a que la etiqueta del paquete es ilegible, debemos proporcionar nuestros datos personales y una dirección de entrega. Además, se menciona el pago de una pequeña cantidad para poder formalizar la entrega, ya que la información del supuesto remitente también es ilegible.
Llegados a este punto, muchos usuarios pueden pensar que, en efecto, tienen un paquete pendiente de recibir y que, a pesar de que los datos del destinatario y el remitente están incluidos en el sistema de gestión de paquetes al realizar el envío y, por tanto, no es necesario consultarlos en la etiqueta para realizar la entrega, deben proceder a proporcionar la información solicitada en el siguiente formulario.
En el caso de que alguien rellene estos campos, los delincuentes tendrán información interesante que podrán usar para otro tipo de ataques más dirigidos. Sin embargo. Al pulsar sobre el botón continuar no aparece ninguna otra pantalla en la que introducir los datos de nuestra tarjeta bancaria para pagar el importe que nos solicitaban para realizar la entrega del paquete.
Esto puede ser debido a que la web no estaba correctamente preparada, ya que también hemos observado un mensaje de error al acceder al formulario, por lo que es posible que esta campaña se retire o modifique en los próximos días.
Conclusión
No deja de ser curioso ver cómo los delincuentes tratan de innovar en los cebos usados para tratar de resultar más convincentes a la hora de engañar a los usuarios. Por eso, debemos estar muy atentos a los detalles y desconfiar de correos y mensajes no solicitados, acudiendo a los canales oficiales en caso de dudas para evitar caer víctima de estos engaños.