Seguridad Integral

Tendencias de emails falsos

Brenda Facundo
Marketing


Posted in Seguridad Firewall Perimetral, Seguridad Informática, Seguridad Mobile, Sophos Intercept X on Aug 05, 2020

La Oficina de Seguridad del Internauta (OSI) alerta de varias campañas de emails falsas con varios motivos. Por un lado, está la que suplanta a correos solicitando un pago de de 2,99 € para la entrega de un envío, por otro existe una oleada de falsos correos de sextorsión o infección de COVID-19.

Correos
El correo electrónico fraudulento se envía desde una cuenta que no pertenece al servicio legítimo de correos y se envía bajo el asunto “Importante: su paquete está esperando la entrega, [Solicitar ID: 71119213333 ]”, aunque no se descarta que puedan estar distribuyéndose mediante otros correos con asuntos similares o incluso diferentes.

La estafa avisa al usuario de que el paquete está esperando la entrega y debe confirmar un pago de 2,99€ para poder recibirlo.

Las principales características de este phishing son:

El correo enviado se identifica como correos, utilizando su logotipo y el formato habitual de correos electrónicos utilizado por la empresa.
Se ha falseado el domino de correos para dotar de mayor credibilidad al fraude. De esta forma, el usuario puede pensar que realmente es la entidad legítima la que le está enviando el correo electrónico (Mail spoofing).
El lenguaje utilizado en el mensaje es correcto aunque no se detectan las palabras con tildes y añade símbolos raros. Es habitual encontrar faltas de ortografía y/o redacciones poco cuidadas debidas, en gran parte, al uso de traductores automáticos.
El pago que se solicita es mínimo (2.99€), hecho que posiblemente haga que más víctimas caigan en el engaño, al no suponer un gran coste económico para el usuario.
En algunos correos se podría utilizar la situación actual del Covid-19 para dar más credibilidad al fraude.

Ejemplo:

Al pulsar sobre el botón “Haga clic aquí”, el usuario es redirigido a una página exactamente igual a la legítima.

La página falsa contiene un formulario donde se solicitan los datos de acceso a la cuenta de Correos para acceder a los Servicios Online. Debemos destacar que todos los enlaces que aparecen en esta página, a excepción del botón “Entrar”, vuelven a redirigir al usuario a este mismo sitio.

Tras pulsar en el botón “Entrar” el usuario es redirigido a una web con un formulario donde se solicitan datos personales como el nombre, los apellidos y los datos de la tarjeta bancaria.

Una vez cumplimentados los datos y marcada la casilla de “He leído y acepto la Política de Privacidad”, si se pulsa sobre “Pagar y continuar”, la web mostrará la siguiente pantalla:

Tras unos segundos, automáticamente, la página redirige a otra que simula ser una pasarela de pago, donde solicita introducir un código que supuestamente le ha llegado al usuario a su teléfono móvil.

Esta estrategia se utiliza para dotar de mayor credibilidad al proceso de pago, aunque posiblemente no se reciba un SMS con ningún código, pero igualmente los ciberdelincuentes ya han obtenido nuestros datos.

Sextorsión y COVID-19
El correo electrónico fraudulento se envía desde una cuenta genérica de correo electrónico (por ejemplo: @gmail.com, @outlook.com). El cuerpo del mensaje, en la mayoría de los casos, está en inglés, aunque también podrían darse casos en castellano.

Se han detectado diferentes versiones en cuanto al contenido. En el primero de ellos se amenaza al usuario con enviar a todos sus contactos un vídeo en situación comprometida, grabado mientras navegaba por páginas de contenido sexual, si no se realiza el pago de la cantidad exigida en una cartera digital en menos de 24 horas.

Se intenta engañar a la víctima explicando que estas supuestas imágenes habrían sido obtenidas tras haber infectado su dispositivo, además de haber obtenido el listado de sus contactos de correo electrónico y redes sociales.

Con el objetivo de dar más credibilidad al contenido del correo a ojos de la víctima, se añade una contraseña vinculada a su cuenta. Esta contraseña posiblemente haya sido obtenida tras haber sido filtrada de alguna página de Internet.

En otras variantes no se facilita ninguna contraseña. El correo electrónico podría tener el siguiente aspecto: