Entre los ganchos más empleados durante los últimos meses por los delincuentes, el que utiliza una supuesta entrega de un paquete para tratar de conseguir nuevas víctimas es, sin duda alguna, uno de los más extendidos. Sin embargo, incluso en el uso de este tipo de estrategias vemos como, de vez en cuando, hay algo que nos llama la atención, tal y como vamos a comprobar en el post de hoy.
Un enlace malicioso personalizado
La investigación de este caso empezó gracias a un aviso que nos proporcionó el investigador Daniel López, quien, a su vez, había observado un tweet de una usuaria que alertaba de haber recibido un SMS sospechoso desde un teléfono con prefijo de Noruega. En el momento de realizar este artículo, la web en la que se proporcionaba información personal de la víctima (tal y como veremos a continuación) ya ha sido dada de baja, por lo que no se pueden acceder a los datos de la persona que recibió el siguiente mensaje.
En ese mensaje vemos como se informa a la usuaria acerca de la reprogramación en el supuesto envío de un paquete a la vez que se proporciona un enlace para solucionar este problema con la entrega. Hasta este punto no existe diferencias con las campañas que han usado este tipo de mensajes como gancho, tanto para instalar aplicaciones maliciosas en dispositivos Android como para robar información personal, incluyendo datos como los de la tarjeta de crédito.
Lo curioso en este caso es que si se pulsa en el enlace proporcionado, se produce una redirección a una web controlada por los responsables de esta campaña donde se proporcionan los datos personales de la persona que ha recibido este mensaje. La URL acortada parece ser única para cada uno de los usuarios a los que se envía el mensaje y, al redirigir al sitio web malicioso, se incluyen datos (omitidos para preservar el anonimato del usuario) como el nombre, apellidos, dirección postal, email y teléfono, tal y como podemos ver a continuación.
De dónde pueden haber salido estos datos es una incógnita, pero una posibilidad es que esta información se haya podido obtener de alguna de las múltiples filtraciones que se han ido produciendo durante los últimos meses en servicios online y empresas de todo tipo y ahora se estén utilizando para personalizar esta clase de campañas. Tampoco podemos descartar que la usuaria afectada hubiera introducido estos datos en alguna web que hubiese sido utilizada anteriormente por los responsables de esta nueva campaña.
Entrega del paquete
En el caso de que el usuario que reciba el mensaje decida pulsar sobre el enlace, será redirigido a una web especialmente preparada donde se le indicará que el supuesto paquete pendiente de recibir está a la espera de que se confirmen los datos personales, empezando por el número de teléfono.
Como estos datos ya han sido obtenidos por los delincuentes previamente, al usarlos de esta forma hace que la víctima piense que se encuentra ante una comunicación legítima de su empresa de logística. Los responsables de esta campaña incluso han incluido un pequeño logo que emula el de UPS pero cambiando una letra para hacer esta campaña más creíble.
En el siguiente paso se informa que el motivo de la retención del supuesto paquete es el pago de unos “derechos de importación” que aún no han sido abonados. Además, se aporta la información del usuario que ha recibido el SMS, información que incluye el nombre completo, su dirección, email y teléfono.
Una vez el usuario accede a programar la supuesta nueva entrega del paquete, se le presentarán una serie de cuestiones acerca como a qué hora o dónde quiere que se realice la entrega del paquete. De esta forma se sigue ofreciendo la imagen de que este es un procedimiento legítimo y se reducen las posibles sospechas de la víctima.
Una vez contestadas estas preguntas se procede a la confirmación del envío, con una fecha y hora estimada de entrega. Además, se invita al usuario a introducir su información de contacto y realizar el pago de los gastos derivados. Este punto es importante y tiene sentido en campañas anteriores donde los datos de la víctima no se obtenían hasta que esta los introducía de forma voluntaria. Sin embargo, tal y como llevamos comprobando desde el inicio de este análisis, los responsables de esta campaña ya disponen de todos los datos necesarios para realizar la supuesta entrega del paquete, por lo que resulta extraño que ahora los vuelvan a solicitar.
De hecho, podemos ver en el siguiente formulario que se vuelve a solicitar todos los datos del usuario como si no los tuvieran ya. Esto denota un reaprovechamiento de tácticas anteriores donde se incluyen este tipo de formularios esperando que sea el usuario quien los rellene, enviando la información a los responsables de estas campañas.
Pero, sin duda alguna, los datos más críticos y por los que los delincuentes se toman el esfuerzo de preparar estas webs y enviar los mensajes de correo o SMS son los de la tarjeta de crédito de la víctima. En el siguiente formulario podemos ver como se solicita el número de la tarjeta de crédito, su fecha de caducidad y el código CVV. Con esta información ya se pueden realizar pagos a cargo del saldo en la tarjeta de la víctima, que no se dará cuenta hasta que revise las operaciones o le empiecen a saltar alertas de gastos realizados con su tarjeta.
También es curioso ver como, en este último formulario, se menciona un servicio de suscripción y un sorteo para ganar un producto que no aparece por ningún lado. Esto se debe a que han usado la misma plantilla vista con anterioridad en la que el gancho utilizado para atraer a las víctimas era un regalo como un smartphone, portátil o consola de videojuegos.
Conclusión
Si bien este tipo de campañas han sido observadas y analizadas desde hace años, que sus responsables conozcan los datos personales del usuario al que envían el mensaje SMS es inquietante. Por ese motivo es importante desconfiar de este tipo de comunicaciones, especialmente si no estamos esperando un paquete y el mensaje viene de un número extranjero.