El uso de la ingeniería social durante el verano hace que mucha gente al enconatrarse en un entorno y circunstancias diferentes al resto del año, caigan en clásicos como estos:

Correos no está enviando mensajes para comunicarte que existe una incidencia con tu paquete

Se ha detectado una campaña donde los ciberdelincuentes están usando la técnica de smishing, basada en el envío masivo de mensajes de texto, donde se le comunica al usuario que Correos ha tenido problemas con la entrega de un paquete por falta de datos personales, como la dirección de entrega o el pago de tasas de aduanas, por lo que se solicitan datos personales y, posteriormente, también se piden datos bancarios, con el fin de realizar cargos de forma ilegítima en su cuenta bancaria.

A continuación, se muestran una serie de SMS reales que se están recibiendo por parte de los usuarios en esta campaña de suplantación de Correos.

Ejemplo 1:
‘CORREOS, Estimado cliente, su paquete no se ha podido entregar el 07/07 porque no se han pagado las tasas de aduana (2.64€), Siga las instrucciones :’


Ejemplo 2:
‘CORREOS La entrega de su paquete ha sido suspendida debido a que falta un numero de calle en el paquete. Por favor, actualice:’


Ejemplo 3:
‘Su paquete ha sido puesto en espera debido a que falta un numero de calle en el paquete. Por favor actualice la informacion de entrega:’


Una vez se accede a la URL que aparece en el SMS, se redirecciona a la víctima a una pantalla, en la cual se indica el estado de la supuesta entrega, y avisa de que para recibir el paquete hay que continuar y actualizar los datos personales.

Tras pulsar sobre el botón “Continuar”, aparece una pantalla donde solicitan mediante un formulario una serie de datos personales y la dirección de envío.

Al hacer clic sobre “Actualización inmediatamente” redirecciona a la víctima a otra pantalla donde solicita introducir los datos de la tarjeta bancaria para hacer un supuesto pago de 0,27€.

Una vez realizado el supuesto pago, aparecerá otra pantalla donde se solicita introducir un código SMS que debería haber llegado al teléfono móvil que introdujimos anteriormente en el formulario de datos personales. Dicho código es posible que no se reciba nunca.

Pero al introducir una cadena de números cualquiera en el formulario, la página conduce a otra pantalla donde informan que se ha confirmado correctamente el proceso para poder recibir el supuesto paquete. Aunque los ciberdelincuentes ya estarán en posesión de nuestros datos y no recibiremos tal paquete.

La DGT no está mandando SMS para notificar recordatorios de multas pendientes de pago

Se ha detectado una campaña de mensajes de texto fraudulentos que pretenden suplantar a la Dirección General de Tráfico (DGT). En dichos mensajes, se notifica al receptor sobre una supuesta infracción de tráfico y se le solicita que se resuelva a la mayor brevedad mediante un enlace proporcionado. Al pulsar sobre dicha URL adjunta, el usuario es redireccionado a un sitio web donde se le extraerán sus datos personales y bancarios.

A continuación, se muestran diferentes imágenes de ejemplos reales obtenidos de varios tipos de mensajes de texto fraudulentos, algunos de ellos con faltas de ortografía.
“DGT: Último recordatorio antes del aumento de su multa pendiente de pago. Consulta tú expediente :”

“DGT: Dispone de 24 horas restantes para pagar su multa del 13/06/2024. Consulte en el siguiente enlace:”

“Sede Electronica DGT. Tiene una multa pendiente de pago con fecha de caducidad 17/06/2024. Verifique su identidad y metodo de pago:”

Al acceder al enlace, en la pantalla que le aparece al usuario se puede observar cómo el diseño y el logo se hacen pasar por la web legítima de la DGT. En ella se informa a la víctima de que tiene menos de 24 horas para hacer el pago de la multa y de esa manera evitar un recargo del 50% y posibles demandas.

Tras haber pulsado en “Pagar la multa” aparecerá otra pantalla con el número de la multa, en la cual se solicitan diferentes datos personales, todos ellos obligatorios para poder continuar con el proceso.

Una vez completado el formulario y pulsado en “Continuar”, se solicitarán diferentes datos de la tarjeta de crédito, como el número de la tarjeta, la fecha de expiración o el CVV.

Al continuar, aparecerá un mensaje que avisa de que se ha solicitado autenticación adicional.

Trascurridos unos segundos, se visualiza el siguiente paso en el que se solicita un código recibido por SMS en el teléfono móvil que se había proporcionado previamente. Este código no se recibirá nunca en el teléfono.

Aunque en esta imagen se puede observar cómo al introducir un código aleatorio lo ha detectado como incorrecto (“Invalid”), después de intentarlo una vez más y pulsado en “Continuar”, se puede avanzar en el proceso.

Para finalizar se solicita el código PIN de la tarjeta de crédito.

Una vez introducido y pulsado en “Continuar”, aparece una pantalla en blanco sin opción a hacer ninguna acción más.
Esto es una evidencia clara de que se trata de un fraude y que los ciberdelincuentes ya están en posesión de los datos que les hemos facilitado durante el proceso.

Solución

En el caso de haber recibido el mensaje de texto con características anteriormente mencionadas, pero no has accedido al enlace, te sugerimos que bloquees al remitente, lo marques como spam y lo elimines de tu bandeja de entrada.
Por otro lado, si has accedido al enlace y has introducido tus datos personales y bancarios, te recomendamos que sigas los siguientes pasos:
• Recopila y guarda todas las evidencias posibles del fraude, en este caso el smishing, incluyendo los enlaces. Puedes recurrir a testigos online para validar estar pruebas.
• En los próximos meses, te sugerimos que practiques egosurfing para comprobar tu presencia en la Red y garantizar la seguridad de tus datos personales y bancarios.
• Ponte en contacto con la Línea de Ayuda en Ciberseguridad para obtener asesoramiento e informarnos sobre el fraude. De esta manera, podemos prevenir que otras personas caigan en este fraude. También puedes reportar el fraude a través de nuestro buzón de correo electrónico.
• Acude ante las Fuerzas y Cuerpos de Seguridad del Estado y presenta una denuncia con las evidencias que hayas recopilado del fraude.
• Si todavía te surgen dudas sobre la autenticidad de un SMS que has recibido, puedes consultar la sección relacionada con la ciberseguridad en la página web de Correos.
• Recuerda contrastar siempre todas las notificaciones que recibas por SMS u otro medio, mediante una fuente oficial.