Correos ha sufrido un ataque en el que se han suplantado sus cuentas de envío de SMS y de Twitter. Los cibercriminales están enviado SMS fraudulentos a los usuarios para lograr datos personales y de pago.
En numerosas ocasiones explicamos que para reconocer un phishing (un correo fraudulento) una de las claves es que el remitente sea desconocido o sea una variación de la cuenta a la que están suplantando. Así como enlaces que nos llevan a páginas no seguras (http), por ejemplo.
Sin embargo, en ocasiones, los cibercriminales realizan engaños mucho más sofisticados. Y esto es lo que han hecho en una nueva campaña fraudulenta que suplanta a Correos por vía SMS (smishing).
En esta ocasión, no recibimos el mensaje desde un remitente desconocido. Sino que llega desde la propia cuenta de Correos. Incluso podemos leerlo en la misma conversación en la que nos han enviado avisos anteriores, si es que se da ese caso. Esto hace que los SMS fraudulentos parezcan legítimos y no hagan sospechar a las víctimas.
Además, el enlace al que nos dirige el mensaje es una dirección https con un certificado válido, otro punto en el que difiere de los phishings tradicionales. Esto puede ocurrir, ya que los cibercriminales pueden comprar dichos certificados, aunque no es lo habitual.
SMS fraudulentos en nombre de Correos
Los cibercriminales artífices de estos SMS fraudulentos se han tomado muchas molestias para hacer que la estafa parezca un aviso legítimo. De hecho, para poder acceder a la página desde el enlace tenemos que pasar previamente por un Captcha de seguridad con la misma apariencia que los de Correos.
Así, las víctimas que no sospechen del fraude acabarán pagando 1€ por un artículo inexistente y ofreciendo sus datos personales y de pago a los cibercriminales. Sin embargo, todavía quedan opciones para que los usuarios descubran que se trata de SMS fraudulentos.
En primer lugar, en el mensaje se nos muestra un enlace acortado. Esta es una práctica muy utilizada por los cibercriminales, pues oculta la dirección real y obliga al usuario a pinchar en ella para averiguar a dónde lo dirige.
No obstante, aunque al hacer clic en la dirección acortada y llegar a las páginas https anteriormente mencionadas, podemos sospechar también de las mismas porque no son oficiales, sino que se esconden tras un dominio que no es propio de Correos.
- https://correos.es.packageupdate.club
- https://es.impressiveprize.com/
Hackeo a su cuenta de Twitter
La cuenta de Twitter de atención al cliente de Correos también ha sido hackeada. De este modo se dificulta otro de los pasos que recomendamos para detectar un phishing del que dudamos, que es verificar la autenticidad del mensaje por otra vía.
No obstante, al ver las direcciones web a las que nos dirige el link acortado de los SMS fraudulentos debemos estar alerta y ser conscientes de que si estuviésemos ante una web oficial, la misma acabaría en correos.es, y no en una variante como correos.es.packageupdate.club.
Por otra parte, debemos recordar siempre que ninguna compañía realiza peticiones de pagos o datos personales con procedimientos como un SMS.