Las empresas de mensajería han sido elegidas varias veces por los delincuentes en numerosas campañas maliciosas analizadas durante los últimos meses. Principalmente se han utilizado para propagar malware, pero también como gancho para tratar de obtener los datos de las tarjetas de crédito proporcionados directamente por usuarios engañados y convencidos de que tenían un paquete pendiente de entrega.
Correo de Eurosender
Entre las muestras analizadas durante los últimos meses hemos visto como se suplantaba la identidad de empresas de mensajería como DHL, GLS, TNT y Correos España (en varias ocasiones). En esta ocasión y durante los últimos días hemos estado viendo como se están propagando una serie de correos que suplantan la identidad de Eurosender (una plataforma digital pensada para que cualquier empresa pueda tener su propio departamento de logística).
En estos correos se vuelve a utilizar la técnica del supuesto paquete detenido en un centro de distribución esperando a que paguemos una pequeña cantidad pendiente y proporcionemos una dirección de entrega válida. Viendo el considerable aumento que han experimentado los servicios de paquetería desde el inicio de la pandemia, no sería de extrañar que bastantes de los receptores de estos mensajes estén realmente esperando algún paquete, por lo que los delincuentes tienen fácil conseguir engañar a los usuarios más desprevenidos.
En el caso de que alguien pulse sobre el enlace proporcionado, será redirigido a una web preparada como gancho para terminar de convencer a la víctima de que realmente tiene un paquete pendiente de entrega y que, además, este paquete contiene un móvil de alta gama. Por si fuera poco, se añaden supuestos comentarios de usuarios que ya habrían recibido este “regalo”, todo para que este engaño resulte más convincente.
Los siguientes pasos ofrecen información sobre el paquete pendiente de entrega y su supuesto contenido, además de preguntar por la dirección de entrega y proporcionar un supuesto estado de la entrega del paquete. Toda esta información está incluida para terminar de convencer al usuario de que está ante un proceso legítimo a pesar de no ser así. Además, todas las webs a las que se redirige al usuario cuentan con un certificado válido, por lo que se puede pensar que se está navegando por webs seguras cuando esto no es así.
Obtención de datos de la tarjeta de crédito
Una vez mostradas todas las pantallas anteriores es posible que la víctima se haya convencido de que va a recibir un smartphone de alta gama gratuitamente en casa, y que para conseguirlo solo tendrá que abonar los dos euros que se solicitan en concepto de gastos de envío. Es en esta parte del proceso cuando ya se solicitan datos personales tales como el nombre y apellidos, la dirección postal, el número de teléfono o el email.
Ya por último accedemos al enlace donde se solicitan los datos correspondientes a la tarjeta de crédito. El usuario pensará que solo se le cargarán los dos euros mencionados, pero la realidad es bien diferente, ya que en un apartado ubicado en la parte derecha de esa web y en inglés se menciona la suscripción a un club que realizará cargos periódicos cada mes. Este tipo de cargos suelen ser de una cantidad bastante elevada y conseguir anular la suscripción y que se nos devuelva el dinero abonado no es tarea fácil.
Por supuesto, el paquete conteniendo el teléfono móvil no nos llegará a nuestro domicilio, ya que se trata del gancho que estas campañas utilizan para cazar a usuarios desprevenidos y que no tienen problema en introducir los datos de sus tarjetas de crédito en cualquier web que lo solicite.
Conclusión
A pesar de llevar tiempo observando este tipo de estafas y suscripciones a clubs de pago de dudosa utilidad, seguimos observando la propagación de este tipo de correos cada cierto tiempo. Esto significa que sigue habiendo usuarios susceptibles de caer en este tipo de trampas, por lo que conviene estar informado de cuáles son las técnicas utilizadas y evitar así que se nos realicen cuantiosos cargos en nuestra tarjeta de crédito que luego son difíciles de devolver.