"Estimado cliente, su paquete no se ha podido entregar porque no se han pagado las tasas de aduana (€ 1). Siga las instrucciones". Parece ser un SMS de Correos, pero realmente se trata de una estafa. Un caso recurrente que cada cierto tiempo vuelve a aparecer y afecta a centenares de usuarios. Estos días, tal y como han mostrado muchas personas en las redes sociales, ha vuelto a circular.
Pero uno de los peligros de estos mensajes es que no parecen enviarse desde una cuenta extraña, sino que aparecen en la misma sección donde anteriormente habíamos recibido otros SMS de Correos. Una maniobra para confundir al usuario e intentar que el SMS trampa genere más confianza.
Se trata de un claro caso de phishing, un uso fraudulento donde se nos reclama pagar para recibir el supuesto paquete retenido. Te contamos qué ocurre con estos SMS, cuál es nuestra recomendación ante estos casos y cómo han logrado los atacantes hacerse pasar por Correos.
Una estafa que vuelve periódicamente
El mecanismo del SMS-estafa de Correos es sencillo. En primer lugar recibimos el mensaje de alerta con un remitente conocido y una advertencia que a la mayoría de usuarios le puede interesar. El "pago de tasas por aduana" es un cebo que no tiene por qué encajar con todos, pero sí despierta la curiosidad.
En caso de hacer clic en el enlace, se nos deriva a una web con un Captcha y el diseño de Correos. Esta web es aparentemente segura, pues dispone de un certificado SSL auténtico y dominio 'https' para darle veracidad. Sin embargo se encuentra en el dominio 'https://correos.es.packageupdate.club', lo que ya nos indica que algo extraño ocurre. Posteriormente al Captcha, es donde el SMS nos solicita nuestros datos personales y la tarjeta de crédito.
Llegados a este punto, queda claro que la recomendación es no abrir el enlace y no ofrecer ningún dato personal. En caso de haber abierto el enlace no hay problema, pero si por casualidad llegaste a dar tus datos bancarios, recomendamos acudir al banco y cambiar la contraseña de tu cuenta.
Desde Correos explican a Xataka que “estos intentos de phishing se producen periódicamente”. La último oleada reconocida por la propia Correos fue a principios del pasado mes de septiembre, donde desde sus redes sociales ya enviaron un mensaje de advertencia. Como se puede ver por las imágenes, en aquel momento el SMS hacía referencia a la fecha 02/09, mientras que en los SMS recibidos durante los últimos días se habla del 11/10.
¡ALERTA DE PHISING!
— Correos (@Correos) September 6, 2019
Algunos de nuestros clientes están recibiendo estos SMS suplantando la identidad de #Correos. Por favor, no pinches ningún enlace, no des tus datos y elimina el mensaje. #NoPiques pic.twitter.com/bShzpyFuuJ
“Correos no envía por SMS aquellas comunicaciones que requieran acción del usuario, simplemente notificaciones”, nos explica la compañía. Es un patrón que también aplica a otras entidades como los bancos, donde siempre que hay algún problema no es directamente a través de un enlace donde se nos ofrece la solución. Esto es así para evitar intentos de phishing.
A diferencia de los correos engañosos que algunos atacantes envían, este SMS-estafa tiene la particularidad que se “cuela” entre el resto de SMS verídicos. ¿Se han visto los sistemas de Correos comprometidos? ¿Han aprovechado los atacantes un fallo de seguridad para enviar estos mensajes? “No, se trata de un mensaje de phishing habitual”, responden desde Correos. “
Esta última oleada de SMS ha coincidido en el tiempo con el hackeo de la cuenta de Correos Atiende. Sin embargo, desde Correos nos explican que se trata de un problema puntual de esa red social y ya se trabaja para solucionarlo con Twitter España. “En ningún caso los dos temas están relacionados”, aseguran.
Qué es el SMS spoofing o cómo falsificar el remitente de los SMS
¿Cómo logran los atacantes enviar estos SMS haciéndose pasar por Correos? La respuesta nos la apunta Deepak Daswani, experto en ciberseguridad y cofundador de Hackron, el Congreso anual de Hacking en Tenerife. "Hay formas de hacerlo, pero lo más fácil es contratar un servicio de SMS para dar forma al ID del usuario o remitente".
"Hay servicios de este tipo gratuitos, donde se contrata un proveedor externo de otro país y te deja enviar mensajes con el remitente que tu quieras", nos explica Deepak. Es lo que se conoce como el SMS Spoofing, una técnica que permite enviar un mensaje desde una fuente desconocida, haciéndote pasar por una fuente conocida.
La técnica del 'Spoofing' también se aplica a correos electrónicos, llamadas o incluso direcciones IP o DNS. En todos ellos el objetivo es el mismo; suplantar una identidad concreta para hacer creer que el mensaje o llamada lo envía una persona de confianza. Algo que en estos SMS-estafa sería Correos.
Y es que falsificar mensajes es tan fácil, que incluso los Tribunales deberían ser cautelosos a la hora de permitir utilizarlo como única evidencia en un juicio. Falsificar un SMS es trivial, pues existen una gran variedad de aplicaciones y páginas web que ofrecen estos servicios, incluyendo mensajes de WhatsApp o Telegram.
Una de las webs que nos enseña Deepak es 'SMSGang.com'. "Si quieres probar a enviar texto de verdad, generalmente te piden que pagues". Se refiere a los créditos que solicitan estas páginas para poder enviar los 'fake SMS', porque pese a que sí existen webs gratuitas como 'Sendanonymoussms.com', aquellas que permiten modificar el campo del remitente suelen ser de pago.
Con webs como SMSGang podemos observar que el mecanismo es sencillo. En un primer campo nos solicita el número de teléfono al que queremos enviar el SMS, en un segundo campo está el "from", el apartado más importante pues será el identificador del remitente. Aquí hay servicios que únicamente permiten añadir un número de hasta 11 caracteres, pero también hay otros que permiten escribir un texto.
Precisamente con los SMS-estafa, los atacantes habrían utilizado la técnica del SMS Spoofing para escribir "from:Correos". Después únicamente fue necesario que la aplicación de mensajes del móvil, tanto en Android como en iOS, identificase que los SMS mantienen el mismo ID o remitente y los colocase en la misma sección.
Como nos explica Román Ramírez, organizador de RootedCON y experto en el mundo de la ciberseguridad en España: "El protocolo funciona así. No te haces pasar por Correos, pones 'CORREOS' en el from. Hay ocho mil servicios como este, en muchos solamente te dejan falsear el número origen, pero en otros puedes poner "dios"". Una técnica que como nos cuenta, da lugar a todo tipo de anécdotas.
Con una búsqueda rápida encontramos servicios como 'Spoofbox', 'Spoofmytextmessage' o 'Pranktexts'. Este último dispone de una sección de "cómo funciona" donde explica, entre otros detalles, que en caso de responder a uno de estos mensajes, el SMS irá directamente al remitente real.
Cómo protegerse de estos ataques de phishing
"Prácticamente no hay nada que se pueda hacer para evitar esto, al menos en móviles viejos es la operadora la que tendría que filtrar estos mensajes falsos", explican desde Spamloco. ¿Significa esto que no hay manera de detectar cuando el remitente es falso? No necesariamente, pero sí es un problema muy ligado a cómo funciona el protocolo SMS.
La primera recomendación es buscar indicios que nos hagan dudar de la legitimidad del mensaje. Aquí entran desde faltas de ortografía, frases inconsistentes o errores sin sentido. En otras ocasiones el nombre del remitente no es exacto. También ocurre que la URL de la página web que nos enlazan no es la habitual. Independientemente, la recomendación habitual de los expertos en seguridad es que nunca hagamos clic en estos enlaces que nos envían por SMS, mucho menos realizar gestiones desde ahí y en ningún caso añadir nuestros datos.
Ver 18 comentarios