SMS solicitando pago de aduanas. Nueva versión de esta campaña que suplanta a Correos para robarte los datos de la tarjeta de crédito

Las empresas de logística siguen siendo una de las favoritas a la hora de realizar suplantaciones por parte de los delincuentes. Además, las campañas de phishing utilizando correos o SMS se intensifican en periodos de gran volumen de compras como el Black Friday o las compras navideñas, con ejemplo como el que analizamos en el artículo de hoy.

SMS solicitando pago de tasas aduaneras

La utilización de mensajes de texto dirigidos a usuarios de móviles en las campañas preparadas por los delincuentes ya es algo habitual desde hace tiempo. Amenazas que incluyen desde troyanos bancarios a suplantaciones de identidad son algunas de las que más utilizan este vector de ataque, que trata de proporcionar legitimidad a este tipo de mensajes.

Entre las campañas que suplantan a las empresas de transporte y logística, hay una que viene produciéndose desde hace meses, con alguno de los primeros casos detectados en 2021, y que hace referencia al supuesto pago pendiente de ciertas tasas aduaneras para poder completar la entrega de un paquete.

Una de las características clave de este tipo de mensajes es que suele proporcionar bien la dirección de una web que se parece a la de la empresa suplantada o, como en este caso, un enlace acortado para que el usuario que reciba el SMS no sepa donde va a terminar redirigido. En este caso, la web utilizada para la suplantación simula ser la de Correos España, usando sus colores corporativos y su logotipo oficial, con enlaces que redirigen a la descarga de apps oficiales y otras partes de la web legítima.

Sin embargo, la intención de los delincuentes es que toda la atención de los usuarios que la visiten vaya a parar al botón “Recibir”. Además, al preparar esta web fraudulenta, no se ha prestado demasiada atención en camuflar el dominio utilizado ya que este pertenece a un blog realizado en WordPress cuya seguridad se ha visto vulnerada y está siendo utilizado por los delincuentes para alojar esta web fraudulenta.

El uso de webs con problemas de seguridad y que por tanto, son vulneradas para usarlas con fines delictivos, es algo común entre los grupos criminales que se dedican a realizar este tipo de estafas. Esto les ahorra tener que contratar un dominio propio que puede ser reconocido como posiblemente fraudulento y además les permite tratar de esquivar ciertas medidas de seguridad gracias a la reputación (normalmente neutra o buena) que tenga la web comprometida.

Robando los datos de la tarjeta de crédito

La finalidad de este tipo de webs es la de conseguir convencer al usuario que acceda a ellas para que introduzca los datos de su tarjeta de crédito y así poder clonársela para realizar pagos y retiradas de efectivo en su nombre. Por ese motivo no tienen ningún reparo en solicitar todos los datos relacionados con las tarjetas de crédito de sus víctimas, convencidos de que algunos de ellos pensarán estar ante una web legítima y segura.

Para tratar de dar mayor legitimidad a este fraude, una vez introducidos los datos de la tarjeta de crédito veremos como se carga una animación en la que, supuestamente, se está realizando una confirmación para proceder a validar la tarjeta y realizar el pago pendiente correspondiente al pago de aduanas. Esto no es más que una artimaña preparada por los delincuentes para ganar un poco de tiempo mientras tratan de hacer un cargo en la tarjeta introducida.

Además, y debido a la implantación cada vez mayor de medidas de seguridad por parte de las entidades bancarias y empresas emisoras de tarjetas de crédito los delincuentes han tenido que adaptar sus campañas de phishing para solicitar los códigos de verificación que se envían antes de confirmar un pago. Es por eso que añaden un paso más y se solicita al usuario que introduzca esta clave temporal en una web que han preparado para suplantar a la pasarela de pago.

Sin embargo, no contentos con realizar un cargo fraudulento a la tarjeta de la víctima, los delincuentes han decidido ir un paso más allá y pedir además el código PIN de la tarjeta de crédito. Esta información les permite clonar las tarjetas robadas y usarlas para realizar pagos en todo tipo de establecimientos e incluso retirar efectivo en los cajeros automáticos.

Como vemos, los delincuentes han pensado en (casi) todo para sacarle el máximo rendimiento a esta campaña de phishing. No obstante, han dejado pistas suficientes como para que aquellos usuarios más atentos no caigan en la trampa como el uso de un enlace acortado en el SMS recibido o la utilización de una web comprometida cuya URL no coincide ni se asemeja a la de la web oficial de Correos.

Conclusión

La reutilización de campañas anteriores con algunos cambios para hacerlas más creíbles es una constante en el mundo del cibercrimen y, especialmente, entre aquellos grupos que utilizan el phishing como vector de ataque. Por ese motivo es importante que aprendamos a reconocer este tipo de engaños y contemos con soluciones de seguridad capaces de detectar esta y muchas otras amenazas antes de que supongan un problema.

Josep Albors

Ofertas en Black Friday relacionadas con la seguridad Informática