Toni Esteve
Tecnología
Cuidado con este nuevo fraude que llega por SMS para que pagues gastos de envío de un paquete
Detectan una campaña de mensajes fraudulentos que te piden pagar 1.99 euros por un paquete retenido
La Oficina de Seguridad del Internauta (@osiseguridad) ha detectado una campaña de envío de SMS fraudulentos (una técnica conocida en el argot de la ciberdelincuencia como smishing) que suplantan la identidad del servicio de SEUR. El objetivo es redirigir a la víctima a una página que simula ser la web legítima de la empresa de mensajería, la cual solicita al usuario realizar un pago de 1.99 euros en concepto de gastos de envío del paquete.
Smishing es una palabra compuesta que hace referencia a SMS y phishing, que es una técnica utilizada por ciberdelincuentes para obtener información personal y bancaria de los usuarios mediante el envío de mensajes suplantando a entidades bancarias, redes sociales, entidades públicas, etc. para engañarles y manipularles a fin de que acaben realizando alguna acción que ponga en peligro sus datos.
Así funciona esta estafa
En el caso de la suplantación de la identidad del servicio de SEUR, la estafa funciona de la siguiente manera: un SMS malicioso avisa al usuario de que el paquete está pendiente de ser entregado y se debe confirmar el pago de los gastos de envío (1,99€). Para ello se facilita un enlace.
Las principales características de este fraude, según la OSI, son:
- En líneas generales, la redacción del mensaje es correcta aunque se detectan errores de puntuación. Es habitual encontrar faltas de ortografía y/o redacciones poco cuidadas debidas, en gran parte, al uso de traductores automáticos.
- El pago que se solicita es mínimo (1.99€), hecho que posiblemente haga que más víctimas caigan en el engaño al no suponer un gran coste económico para el usuario.
El hecho es que, al pulsar sobre el enlace, el usuario es redirigido a una página que intenta imitar a la de SEUR, donde se le indica que debe ingresar sus datos y pagar 1,99€ para recibir el paquete. Cabe destacar que los campos del formulario realizan acciones que intentan validar los datos introducidos por el usuario. El objetivo es dar veracidad a la web y no levantar sospechas en el usuario víctima.
(Fuente: OSI)
Tras pulsar el botón de “Confirmar”, se redirige al usuario a una página que contiene un formulario donde se solicitan los datos de la tarjeta bancaria: titular, número de la tarjeta, caducidad y código de seguridad. En este momento, ya resulta sospechoso que el precio de las gastos de envío cambia y aumenta a 2,99€, no son los 1,99€ que nos indicaban inicialmente.
(Fuente: OSI)
Tras pulsar en el botón “Pagar”, el usuario es redirigido a una página con un formulario donde se solicita un código que supuestamente le debería llegar por SMS. Esta estrategia se utiliza para dotar de mayor credibilidad al proceso de pago y, aunque el SMS nunca lo recibirá, los ciberdelincuentes ya han cumplido su objetivo, que es hacerse con sus datos de la tarjeta bancaria.
(Fuente: OSI)
Si has recibido uno de estos SMS fraudulentos y tienes alguna duda al respecto, el Instituto Nacional de Ciberseguridad (@INCIBE) dispone de una línea telefónica gratuita de ayuda en ciberseguridad donde cualquier empresa o ciudadano puede realizar una consulta.
