Reconoce el último intento de phishing de Correos y otras amenazas similares

La ingeniería social se actualiza constantemente con nuevos métodos para permanecer eficaz a la hora de atacar. Intentos de smishing, vishing o phishing (el más conocido) están al acecho de usuarios incautos. Estos esquemas siempre se están renovando.

El phishing es uno de los principales enemigos de cualquier usuario final y organización, ya que se basa en nuestra tendencia natural a confiar en los demás para engañarnos y conseguir sacarnos el dinero o la información.

Por eso conviene estar al día y saber cómo evolucionan estos intentos y qué nuevos esquemas de diseño emplean, para que no nos cojan desprevenidos. La primera capa de protección frente a la ingeniería social es la información.

Nueva campaña de Smishing afecta a Correos

En las últimas semanas me he encontrado con dos patrones de ataque, los cuales pueden ser bastante peligrosos para un número elevado de usuarios que no conocen este tipo de estafa, lo que llaman el Phishing de Correos.

Podrías recibir en tu smartphone un SMS con el siguiente contenido (o muy similar):

Estimado <nombre>, su paquete no se pudo entregar el 14/10/2019 ya que no se pagaron los aranceles aduaneros. Siga estas instrucciones: <enlace>

Una vez pulsamos sobre el enlace adjunto, se nos redirige a una supuesta página de Correos y podemos percibir una serie de redirecciones a través de diferentes dominios antes de llegar a esta, si nos fijamos bien.

En realidad la web no tiene un dominio asociado directamente a correos ni tiene un aspecto muy convincente para un ojo entrenado. Sin embargo hay un detalle a su favor, el remitente es suplantado y, como en mi teléfono, podría mostrarse como la propia empresa de Correos y Telégrafos.

En última instancia se nos pide realizar un pago, dejando datos de nuestra tarjeta de crédito/débito como:

• Nombre y apellido
• Nº de tarjeta
• Caducidad
• CVV

Desafortunadamente, aunque seguí dicho enlace en días pasados, en el momento de escribir estas lineas el dominio ha sido tumbado y no puedo dar más detalles.

¿Qué debería hacer?

Desde luego, desconfiar de los enlaces acortados y, antes de seguirlos, analizarlos normalmente en Virustotal o Metadefender.

Bastaría con acceder simplemente a la web oficial de Correos (la oficial) desde una búsqueda en Google o mejor aún, añadiendo esta a nuestros favoritos si no somos muy diestros.

¿Has ganado un iPhone? Hagamos un evento

Lo admito, este es ingenioso por el medio utilizado, aunque no creo que muy efectivo. Aún así hay quien podría caer, al menos, en la parte de seguir el enlace adjunto, lo que de por sí es peligroso.

Se trata de un evento que recibí en mi calendario hasta en dos ocasiones diferentes, convocado por un tal rajvardhan7209@gmail.com que afirma que soy ganador de un estupendo iPhone XR, lo he ganado en Youtube (no sé ni de qué canal o evento hablamos) y el dominio también huele un poquito mal:

https://amazing-prize.xyz/yt/

Este es el evento:

Me ha programado un evento durante varias semanas, de tal forma que si no lo cancelo (cosa que ya hice) mi teléfono móvil mostrará constantemente una notificación sobre el mismo con un enlace para entrar.

¿Ves el botón con una papalera al que apunta la flecha? Ya sabes lo que tienes si lo recibes 🙂

Para terminar…

Por supuesto, siempre debemos recordar las máximas anti-phishing más comunes:

• Si no has solicitado algo, o bien se trata de un error o de un ciberataque. Desconfía.
• Si algo es demasiado bueno para ser real, no es real. Desconfía.
• Permanece conectado con la realidad del phishing. Lee el periódico o bien fuentes de noticias (como este sitio web) para saber cómo evoucionan estos ciberbataques.
• Activa el segundo factor de autenticación (2FA) en todas las cuentas que puedas, ya que previenen gran parte del hackeo de cuentas.