SMS solicitando un pago de aduanas usado para robar datos de tarjeta de crédito

Es bastante común que los delincuentes utilicen el gancho del paquete pendiente de entrega para tratar de conseguir víctimas a las que robar datos personales. Lo hemos visto en numerosas ocasiones durante los últimos meses, tanto para propagar malware dirigido a dispositivos con sistema operativo Windows o Android como para dirigir al usuario a webs de phishing, tal y como sucede en el caso que vamos a analizar hoy.

Solicitud del pago de aduanas

El mensaje que ha empezado a enviarse a varios usuarios españoles durante las últimas horas se hace pasar por Correos y solicita el pago de una pequeña cantidad en concepto de aduanas. A pesar de que este tipo de campañas se producen de forma casi constante desde hace ya tiempo, el estar inmersos en plena campaña de compras navideñas y habiendo incorporado nuevas medidas relacionadas con la compra de artículos en el extranjero desde este verano puede hacer que no pocos usuarios le den veracidad a este mensaje.

Además, el teléfono desde el cual se envía este mensaje pertenece a un número español, lo que ayuda a que algunos usuarios bajen la guardia y realmente crean estar ante una comunicación oficial de Correos. Tal y como es habitual en este tipo de mensajes, al final del mismo se nos adjunta un enlace acortado que no nos deja ver a dónde se nos quiere redirigir realmente.

En caso de pulsar este enlace acortado se nos envía a una web que muestra una plantilla muy familiar. En esta plantilla se muestra la supuesta cantidad que hay que abonar, utilizando los colores corporativos y el logo de la empresa suplantada, con la opción de realizar el pago o cancelar la operación. Esta plantilla lleva bastante tiempo siendo utilizada y, a pesar de esto, no parece que los delincuentes detrás de estas campañas tengan la intención de actualizarla.

Robo de la tarjeta de crédito

Como vemos, este caso de suplantación de identidad o phishing depende de que se convenza al usuario para que introduzca los datos relacionados con su tarjeta de crédito. Para ello se presenta un formulario donde introducir datos como el nombre del titular de la tarjeta, el número de la tarjeta, su caducidad, el código de seguridad y, como novedad con respecto a campañas anteriores, el código PIN.

Una vez los delincuentes obtienen estos datos ya pueden tratar de realizar operaciones fraudulentas con la tarjeta robada, como, por ejemplo, realizar compras a cargo de la víctima o sacar dinero de un cajero automático una vez se clona la tarjeta. Sin embargo, para autorizar algunas de estas operaciones se requiere un código de verificación enviado por la entidad bancaria, código que los delincuentes no tienen ningún problema en solicitar a la víctima en el siguiente paso.

Como dato curioso, al revisar esta nueva campaña hemos visto como los delincuentes no se han preocupado demasiado en evitar dejar rastro y en la misma web a la que se nos redirige tras pulsar sobre el enlace enviado por SMS podemos ver una carpeta donde se aloja la plantilla usada para suplantar la identidad de correos. La fecha de la última modificación es destacable, puesto que sirve como indicio para saber desde cuándo podría estar usándose en este tipo de ciberataques.

Es muy probable que este kit de creación de webs suplantando a Correos sea utilizado por varios grupos de delincuentes y que estos cuenten con una estructura encargada de vaciar el saldo disponible en las tarjetas de crédito robadas y enviarlo a cuentas controladas por atacantes, aunque la solicitud del código PIN en esta campaña también nos hace pensar que han optado por una aproximación más directa y que les permita sacar dinero directamente de los cajeros automáticos con tarjetas clonadas.

Conclusión

A pesar de estar ante un caso de phishing sobradamente conocido y que lleva entre nosotros bastante tiempo, los delincuentes siguen confiando en que conseguirán nuevas víctimas ahora que estamos en plena vorágine de compras prenavideñas y muchas personas están a la espera de recibir paquetes. Por ese motivo, es importante que permanezcamos alerta ente este tipo de amenazas e informemos a nuestros familiares y conocidos para que ellos tampoco caigan en esta trampa.

Josep Albors

ESET descubre un nuevo intento de ataque a investigadores de seguridad atribuido al grupo Lazarus