“Tu línea ha sido suspendida”: Phishing suplantando a Telefónica intenta robar tu tarjeta de crédito

La suplantación de grandes empresas y organismos oficiales es una técnica que no por antigua ha dejado de ser eficaz. De hecho, durante el último años hemos visto como los delincuentes han explotado esta técnica para propagar todo tipo de amenazas o para hacerse con los datos de más de un usuario y después venderlos o utilizarlos en su contra, siendo el caso que vamos a analizar hoy el último de una larga lista.

Aviso de línea suspendida

Durante esta semana, algunos usuarios han estado recibiendo correos electrónicos que se hacen pasar por la empresa Telefónica en los que se alerta de que no ha sido posible procesar la última factura y que, por ese motivo, se va a proceder a suspender la línea de teléfono (y la tarifa de datos asociados). En el caso de que se sea usuario de otra compañía de telecomunicaciones, es probable que muchos usuarios hayan descartado este mensaje enviándolo a la papelera, pero también es posible que muchos otros clientes de Telefónica se hayan preocupado y hayan pulsado sobre el sugerente botón que se incluye en este mensaje.

En lo que respecta al enlace incluido en ese botón, al analizarlo vemos como inicialmente dirige a un sitio legítimo que sido comprometido por los delincuentes para usarlo en su beneficio. Si seguimos la cadena de redirecciones observamos como, al tratar de acceder al enlace proporcionado, se nos redirige mediante un enlace acortado a otra URL que es la que los delincuentes están usando para alojar la web de phishing.

Robo de datos

Es en esta web donde vemos una supuesta página de acceso al servicio “Mi Movistar”, la plataforma que los usuarios de Telefónica pueden utilizar para gestionar varios aspectos como los datos de las líneas contratadas o su consumo, pero también datos personales como la dirección postal o el número de cuenta asociado. En este caso, parecería que los delincuentes tratan de robar las credenciales de acceso a esta plataforma, y de hecho las obtendrán en el caso de que se introduzcan en el formulario.

Sin embargo, al introducir cualquier valor en estos campos, se nos redirige a un nuevo formulario que nos resulta sospechosamente familiar, ya que es muy parecido a otro observado en anteriores campañas de phishing suplantando a otras empresas como Correos hace unos meses. Esto nos puede indicar que o bien se trata del mismo grupo de delincuentes o se trata de algún kit de creación de phishing que se está vendiendo y que está siendo utilizado por varios criminales. En cualquier caso, lo primero que se solicita son los datos de la tarjeta de crédito, incluyendo en esta web fraudulenta los logotipos tanto de la empresa suplantada como de ServiRed, para así otorgarle una mayor credibilidad a este engaño.

Además, como los delincuentes son conocedores de las medidas de seguridad implementadas desde hace tiempo tanto por las entidades bancarias como por las empresas emisoras de tarjetas de crédito, en el siguiente paso vemos como se nos solicita el código de verificación que se suele enviar por SMS. Si bien este método no es precisamente el más seguro de los existentes actualmente, al menos añade un mínimo de seguridad adicional, aunque con las alternativas existentes estaría bien que se plantease su abandono a favor de otros métodos más eficaces.

Llegados a este punto, si el usuario ha rellenado todos los campos solicitados, los delincuentes no solo tendrán acceso a su cuenta de “Mi Movistar”, sino que también podrán realizar compras a cargo de su tarjeta de crédito, algo de lo que la víctima no sospechará a menos que revise periódicamente los movimientos de su tarjeta o reciba el siguiente extracto.

Conclusión

Tal y como acabamos de ver, los delincuentes tan solo tienen que buscar un gancho lo suficientemente potente para volver a reutilizar técnicas e incluso formularios ya vistos con anterioridad haciendo unos ajustes mínimos para conseguir nuevas víctimas. Por ese motivo es importante estar atentos a este tipo de correos y, en caso de duda o de que nos soliciten datos privados, llamar directamente a la compañía antes de pulsar sobre cualquier enlace, abrir ficheros adjuntos o introducir información personal que pueda ser usada en nuestra contra.

Josep Albors

Aumentan los casos de robos de criptomonedas