Economía

“Phishing”: una nueva campaña suplanta a Correos para robar tarjetas bancarias

El Instituto Nacional de Ciberseguridad alerta de una campaña de suplantación de identidad de Correos con el gancho de tener que realizar un pago de solo 1,79 € en concepto de gastos de envío para recibir un paquete

Aviso de "phishing" que muestra el navegador Chrome cuando se trata de acceder a una web identificada como fraudulenta.
Aviso de "phishing" que muestra el navegador Chrome cuando se trata de acceder a una web identificada como fraudulenta. FOTO: La Razón (Custom Credit) Cortesía de Christiaan Colen.

El INCIBE ha dado la alarma sobre una nueva campaña de suplantación de identidad por correo electrónico (“phishing”) en la que se intenta engañar a las víctimas para que entreguen los datos de sus tarjetas de crédito o débito. En esta ocasión, los ciberdelincuentes utilizan a Correos como identidad tras la que esconderse y solicitar al receptor el pago de 1,79 € en concepto de gastos de envío para poder recibir un paquete. El objeto de esta campaña no es el cobro de esa cantidad, sino que el usuario introduzca los datos de su tarjeta bancaria en una web fraudulenta de los cibercriminales que imita a la de Correos. El correo falso que reciben las víctimas no está particularmente elaborado y presenta inconsistencias claras, pero el bajo importe que se reclama facilita que las víctimas no sean lo suficientemente precavidas y caigan en el engaño.

La primera inconsistencia del mail fraudulento en nombre de Correos está en su asunto: “RE: su número de envío XNXU440^^^205FR está pendiente.” Dicho número de envío es distinto al que figura en el cuerpo del mensaje que está redactado con las habituales faltas de puntuación y gramaticales en este tipo de mensajes engañosos. El contenido es el siguiente:

“Su envío número ES63****726 todavía no ha podido ser entregado por el siguiente motivo:

Dirección incorrecta

Intento de entrega fallido: Lunes 10 de Enero de 2022, 11:26.

Entrega prevista Martes, 11 de Enero de 2022, 10:00 – 12:00.

Para recibir su paquete Martes, nos envíe una dirección correcta y pague los nuevos costos de envío (1,79 €) en el siguiente enlace

COMPLETE MI DIRECCIÓN DE ENTREGA”

La última frase, en mayúsculas, enlaza a la web de los cibercriminales que suplanta a la de Correos. Si el usuario pulsa el “link” y accede a ella encontrará una página en la que se le informa del concepto, importe y método de pago junto al botón “Pagar y continuar”.

La web falsa de Correos en la que los ciberdelincuentes solicitan los datos de la tarjeta de crédito o débito de la víctima.
La web falsa de Correos en la que los ciberdelincuentes solicitan los datos de la tarjeta de crédito o débito de la víctima. FOTO: La Razón (Custom Credit) Cortesía de INCIBE.

En caso de pulsarlo, los ciberdelincuentes solicitarán los datos de la tarjeta que, si son introducidos, quedarán a disposición de los cibercriminales.