Nuevo phishing de Correos intenta robar los datos de la tarjeta de crédito

Siguiendo con la tónica habitual de estos últimos meses, los delincuentes han vuelto a adaptar una campaña previa para tratar de conseguir nuevas víctimas. En esta ocasión se trata de una campaña similar a la de hace un par de meses donde se suplantaba la identidad de la empresa Correos España y se trataba de obtener los datos de la tarjeta de crédito de la víctima, estrategia que ha sido ligeramente retocada pero que persigue el mismo fin.

El supuesto intento de entrega

Tal y como sucedía en la campaña anterior, todo se inicia con un mensaje donde se nos indica que no se ha podido realizar la entrega de un paquete por no haberse realizado un pago necesario. Sin embargo, en esta nueva campaña hay algunos cambios interesantes que pasamos a revisar. Gracias a la muestra del correo proporcionada por el investigador Abraham Pasamar podemos analizarla y ver sus características más destacables.

Para empezar, el método de propagación elegido en esta ocasión ha sido el email en lugar del mensaje SMS que vimos en la campaña anterior. En el cuerpo del mensaje también podemos ver un cambio sutil ya que aquí se menciona un pago de tasas aduaneras además del pago correspondiente al nuevo intento de entrega.

Ejemplo de email suplantando a Correos – Fuente: Abraham Pasamar

Además, algo que demuestra que los delincuentes están al día e intentan hacer sus campañas más creíbles, es el uso del logotipo de Correos que se ha estado usando durante las últimas semanas con motivos de la celebración del día del Orgullo LGTB. Por último, el remitente usado también inspira confianza ya que el correo desde epostal[@]epostal.correos.es proviene  de un dominio legítimo aunque, en realidad, nos encontramos ante un nuevo caso de spoofing o suplantación de identidad donde los delincuentes emplean esta técnica precisamente para ganarse la confianza de los receptores de estos correos y, de paso, tratar de evadir algunos filtros antispam.

En ese correo vemos como se nos proporciona un enlace para empezar el trámite del pago pendiente. Al tratarse de un importe tan pequeño, es probable que algunos usuarios no se lo piensen dos veces en abonarlos, especialmente si están esperando algún pedido realizado a algún comercio online. No hemos de olvidar que, desde hace meses y provocado por la pandemia de la COVID-19, el comercio electrónico ha experimentado un fuerte impulso y eso lo saben bien los delincuentes que lo están aprovechando para crear multitud de campañas como la que estamos revisando.

Además, tal y como es habitual ver en campañas delictivas desde hace tiempo, esta web cuenta con un certificado válido, lo que le proporciona el candado verde indicando que la comunicación entre el dispositivos del usuario y la web es segura, no que la web lo sea.

Tras acceder a la web preparada por los delincuentes y confirmar la cantidad solicitada, se procede a dirigir al usuario a una pasarela de pago que vuelve a suplantar la identidad de Correos España y a solicitar los datos de tarjeta de crédito con el que abonar el importe pendiente. El diseño de la web, sencillo pero efectivo puede hacer caer en la trampa a más de un usuario despistado que termine introduciendo esta información en los campos proporcionados.

Como es de esperar, en el caso de que se rellene este formulario, los datos de la tarjeta de crédito quedarán a merced de los delincuentes, quienes no tardarán en intentar sustraer dinero de la misma, ya que en el siguiente paso se nos está solicitando el código de verificación enviado mediante SMS para autorizar la transacción, transacción que muy probablemente sea superior a la cantidad de 1’60€ solicitados inicialmente.

Datos a tener en cuenta

Tras revisar el procedimiento usado para engañar a los usuarios, obtener los datos de la tarjeta de crédito y, seguidamente, realizar un cargo, vamos a revisar los puntos que nos hacen comprobar que estamos ante una suplantación de identidad y no ante una comunicación oficial de Correos España.

Ya hemos visto como el remitente del correo parecía legítimo, aunque, revisando la cabecera podemos comprobar como la dirección IP desde la que se envía el email no se corresponde con ningún rango perteneciente a Correos España y está registrada en Estados Unidos.

Es más, si revisamos la información de la URL proporcionada en el enlace que contiene el email, veremos como ese dominio se registró en un proveedor de hosting de Estados Unidos hace apenas un día, el pasado 5 de julio y tiene la validez mínima de un año.

Todo esto ya nos debería poner en alerta antes de proporcionar ningún dato privado en esa web, menos aun los datos de nuestra tarjeta de crédito. Sin embargo, pocos son los usuarios que se paran a revisar todos estos puntos y, si la web cuenta con un certificado válido que le permite obtener el candado verde indicando que la comunicación con ese sitio es seguro (no que la web lo sea), la confianza de los usuarios en el sitio fraudulento aumenta y será más probable que caigan en la trampa.

No obstante, si revisamos con detalle este certificado veremos como ha sido emitido por una autoridad reconocida como Let’s encrypt (una de tantas de las que emiten certificados gratuitos) a nombre de la web fraudulenta y con una fecha de duración de apenas unos meses.

No aparece ninguna organización ni empresa como responsable de administrar ese certificado, algo extraño tratándose de una entidad tan importante como es Correos España, por lo que todo apunta a que los delincuentes han solicitado este certificado para hacer la web más confiable. Por suerte, en las últimas horas, algunos navegadores como Firefox ya la está marcando como maliciosa, lo que evitará muchas víctimas potenciales.

Conclusión

Este nuevo caso que podemos catalogar como phishing es un ejemplo más de la evolución que venimos observando desde hace meses. Correos bien redactados con un gancho potente, suplantando la identidad de la empresa de forma efectiva, no solo en lo referente a las direcciones de correo utilizadas sino también a la imagen corporativa e incluyendo certificados en las webs fraudulentas que inspiren confianza entre los usuarios que lleguen a ellas para que así cedan los datos solicitados sin desconfiar.

Conviene estar atentos a este tipo de campañas puesto que cada vez son más frecuentes y pueden llegar a engañar incluso a usuarios entrenados si bajan la guardia. Por ese motivo es importante fijarse en los detalles antes de descargar ficheros adjuntos o pulsar sobre enlaces y, siempre que sea posible, es recomendable acceder nosotros mismos a la web oficial de la empresa o servicio online para revisar cualquier posible incidencia, antes que creer ciegamente lo que nos diga un correo de este tipo.

Josep Albors

“Factura de Venta” nuevo caso de malware que roba información