"Estimado cliente, su paquete no se ha podido entregar porque no se han pagado las tasas de aduana (€ 1). Siga las instrucciones". Parece ser un SMS de Correos, pero realmente se trata de una estafa. Un caso recurrente que cada cierto tiempo vuelve a aparecer y afecta a centenares de usuarios. Estos días, tal y como han mostrado muchas personas en las redes sociales, ha vuelto a circular.
Pero uno de los peligros de estos mensajes es que no parecen enviarse desde una cuenta extraña, sino que aparecen en la misma sección donde anteriormente habíamos recibido otros SMS de Correos. Una maniobra para confundir al usuario e intentar que el SMS trampa genere más confianza.
Se trata de un claro caso de phishing, un uso fraudulento donde se nos reclama pagar para recibir el supuesto paquete retenido. Te contamos qué ocurre con estos SMS, cuál es nuestra recomendación ante estos casos y cómo han logrado los atacantes hacerse pasar por Correos.
Una estafa que vuelve periódicamente
El mecanismo del SMS-estafa de Correos es sencillo. En primer lugar recibimos el mensaje de alerta con un remitente conocido y una advertencia que a la mayoría de usuarios le puede interesar. El "pago de tasas por aduana" es un cebo que no tiene por qué encajar con todos, pero sí despierta la curiosidad.
En caso de hacer clic en el enlace, se nos deriva a una web con un Captcha y el diseño de Correos. Esta web es aparentemente segura, pues dispone de un certificado SSL auténtico y dominio 'https' para darle veracidad. Sin embargo se encuentra en el dominio 'https://correos.es.packageupdate.club', lo que ya nos indica que algo extraño ocurre. Posteriormente al Captcha, es donde el SMS nos solicita nuestros datos personales y la tarjeta de crédito.
Llegados a este punto, queda claro que la recomendación es no abrir el enlace y no ofrecer ningún dato personal. En caso de haber abierto el enlace no hay problema, pero si por casualidad llegaste a dar tus datos bancarios, recomendamos acudir al banco y cambiar la contraseña de tu cuenta.
Desde Correos explican a Xataka que “estos intentos de phishing se producen periódicamente”. La último oleada reconocida por la propia Correos fue a principios del pasado mes de septiembre, donde desde sus redes sociales ya enviaron un mensaje de advertencia. Como se puede ver por las imágenes, en aquel momento el SMS hacía referencia a la fecha 02/09, mientras que en los SMS recibidos durante los últimos días se habla del 11/10.
¡ALERTA DE PHISING!
— Correos (@Correos) September 6, 2019
Algunos de nuestros clientes están recibiendo estos SMS suplantando la identidad de #Correos. Por favor, no pinches ningún enlace, no des tus datos y elimina el mensaje. #NoPiques pic.twitter.com/bShzpyFuuJ
“Correos no envía por SMS aquellas comunicaciones que requieran acción del usuario, simplemente notificaciones”, nos explica la compañía. Es un patrón que también aplica a otras entidades como los bancos, donde siempre que hay algún problema no es directamente a través de un enlace donde se nos ofrece la solución. Esto es así para evitar intentos de phishing.
A diferencia de los correos engañosos que algunos atacantes envían, este SMS-estafa tiene la particularidad que se “cuela” entre el resto de SMS verídicos. ¿Se han visto los sistemas de Correos comprometidos? ¿Han aprovechado los atacantes un fallo de seguridad para enviar estos mensajes? “No, se trata de un mensaje de phishing habitual”, responden desde Correos. “
Esta última oleada de SMS ha coincidido en el tiempo con el hackeo de la cuenta de Correos Atiende. Sin embargo, desde Correos nos explican que se trata de un problema puntual de esa red social y ya se trabaja para solucionarlo con Twitter España. “En ningún caso los dos temas están relacionados”, aseguran.
Qué es el SMS spoofing o cómo falsificar el remitente de los SMS
¿Cómo logran los atacantes enviar estos SMS haciéndose pasar por Correos? La respuesta nos la apunta Deepak Daswani, experto en ciberseguridad y cofundador de Hackron, el Congreso anual de Hacking en Tenerife. "Hay formas de hacerlo, pero lo más fácil es contratar un servicio de SMS para dar forma al ID del usuario o remitente".
"Hay servicios de este tipo gratuitos, donde se contrata un proveedor externo de otro país y te deja enviar mensajes con el remitente que tu quieras", nos explica Deepak. Es lo que se conoce como el SMS Spoofing, una técnica que permite enviar un mensaje desde una fuente desconocida, haciéndote pasar por una fuente conocida.
La técnica del 'Spoofing' también se aplica a correos electrónicos, llamadas o incluso direcciones IP o DNS. En todos ellos el objetivo es el mismo; suplantar una identidad concreta para hacer creer que el mensaje o llamada lo envía una persona de confianza. Algo que en estos SMS-estafa sería Correos.
Y es que falsificar mensajes es tan fácil, que incluso los Tribunales deberían ser cautelosos a la hora de permitir utilizarlo como única evidencia en un juicio. Falsificar un SMS es trivial, pues existen una gran variedad de aplicaciones y páginas web que ofrecen estos servicios, incluyendo mensajes de WhatsApp o Telegram.
Una de las webs que nos enseña Deepak es 'SMSGang.com'. "Si quieres probar a enviar texto de verdad, generalmente te piden que pagues". Se refiere a los créditos que solicitan estas páginas para poder enviar los 'fake SMS', porque pese a que sí existen webs gratuitas como 'Sendanonymoussms.com', aquellas que permiten modificar el campo del remitente suelen ser de pago.
Con webs como SMSGang podemos observar que el mecanismo es sencillo. En un primer campo nos solicita el número de teléfono al que queremos enviar el SMS, en un segundo campo está el "from", el apartado más importante pues será el identificador del remitente. Aquí hay servicios que únicamente permiten añadir un número de hasta 11 caracteres, pero también hay otros que permiten escribir un texto.
Precisamente con los SMS-estafa, los atacantes habrían utilizado la técnica del SMS Spoofing para escribir "from:Correos". Después únicamente fue necesario que la aplicación de mensajes del móvil, tanto en Android como en iOS, identificase que los SMS mantienen el mismo ID o remitente y los colocase en la misma sección.
Como nos explica Román Ramírez, organizador de RootedCON y experto en el mundo de la ciberseguridad en España: "El protocolo funciona así. No te haces pasar por Correos, pones 'CORREOS' en el from. Hay ocho mil servicios como este, en muchos solamente te dejan falsear el número origen, pero en otros puedes poner "dios"". Una técnica que como nos cuenta, da lugar a todo tipo de anécdotas.
Con una búsqueda rápida encontramos servicios como 'Spoofbox', 'Spoofmytextmessage' o 'Pranktexts'. Este último dispone de una sección de "cómo funciona" donde explica, entre otros detalles, que en caso de responder a uno de estos mensajes, el SMS irá directamente al remitente real.
Cómo protegerse de estos ataques de phishing
"Prácticamente no hay nada que se pueda hacer para evitar esto, al menos en móviles viejos es la operadora la que tendría que filtrar estos mensajes falsos", explican desde Spamloco. ¿Significa esto que no hay manera de detectar cuando el remitente es falso? No necesariamente, pero sí es un problema muy ligado a cómo funciona el protocolo SMS.
La primera recomendación es buscar indicios que nos hagan dudar de la legitimidad del mensaje. Aquí entran desde faltas de ortografía, frases inconsistentes o errores sin sentido. En otras ocasiones el nombre del remitente no es exacto. También ocurre que la URL de la página web que nos enlazan no es la habitual. Independientemente, la recomendación habitual de los expertos en seguridad es que nunca hagamos clic en estos enlaces que nos envían por SMS, mucho menos realizar gestiones desde ahí y en ningún caso añadir nuestros datos.
Ver 18 comentarios
18 comentarios
Javier Jimenez
Lo que no entiendo es como gente que, aun sin estar esperando un paquete llega a caer en este tipo de estafas. Siempre he pensado que el eslabón más débil en seguridad informática es el factor humano.
danielorodriguez
Por aquí veo a muchos listos y otros tantos espabilados. Pues dejadme que os dé algunos datos de alguien que es paranoico total y casi se la cuelan:
- El sms viene directamente de la cuenta oficial de correos. Es decir, la ha enviado desde la cuenta de sms de correos, por lo que aparece como verificado
- Yo recibo muchos paquetes, y muchos de china, por lo que sería plausible. Además, el SMS viene a mi nombre, por lo que no es gente mandando sms a números random, saben que ese es mi número
- El acortamiento de URLs es una práctica común en SMS de correos, por lo que eso no es sospechoso
- Una vez abres la página a la que te enlaza, y aquí tened esto en cuenta todos los que comentan sin haberlo visto, te lleva a un subdominio de es.packageupdate.es . Dicho subdominio es correos, que va por delante de todo lo demás. Con lo cual, la url completa es correos.es.packageupdate.es, pero dado que la pantalla del móvil es estrecha solo te muestra correos.es, y además el dominio tiene ssl y certificado de confianza
- En el último paso, gracias a la magia del auto-completado de formularios te aparece todo con tus datos ya bien rellenos, por lo que si eres descuidado hasta le puedes dar sin querer al botón de enviar
Las únicas partes sospechosas empiezan al final del proceso, donde te vuelven a redirigir a otro dominio externo y las tasas, que 1 euro es un chiste de tasas.
Pero si a mí que estoy familiarizado con estas estafas, que no me fío ni de mi sombra casi me la cuelan me extraña que la mitad de listillos que están aquí diciendo que la gente es tonta se dieran cuenta del engaño.
mitchigan
Me hace gracia que siempre salgan los que tienen que demostrar que nunca les ha pasado ni les pasaría.
Tres cosas:
1. Que no os pase a vosotros no quiere decir que p.ej. a una persona mayor no le vaya a ocurrir
2. Medios de información, campañas de Facebook, empresas alimentarias, de moda, etc. estarán descojonándose de cómo os engañan y vosotros pensando que sois los más listos
3. Cuanto más queréis demostrar, más hacéis patente vuestra intransigencia y falta de seguridad
Usuario desactivado
Habría que pegarle un puro bien gordo a la entidad que firmó el certificado de dicha URL. Es más, debería entrar en una lista negra para que los eslabones previos de la cadena de certificación no vuelvan a incluir a dicha entidad.
friendsmachine
Aunque en el artículo no se menciona una de las formas de prevenir estos escenarios sería contar con soluciones de seguridad en el móvil como Sandblast Mobile que sea capaz de analizar el enlace/URL que recibes en el SMS y determina si es Phishing o no, aunque sea un Phishing de día cero porque analiza en tiempo real la página, ve que tiene poco tráfico, está ofuscada, no es similar visualmente a la web original, etc, etc
antoniomanuelfernandezhernandez
A mi hace cosa de unos 10 días me llegó un correo de correos, no un sms informándome de esto, copio y pego.
Buenos días,
Intento de entrega fallido : 4 octobre 2019 , 15:05.
Correos le informa que su paquete ES63 **** 726 no ha sido entregado (dirección incompleta).
Confirme el pago de los gastos de envío (1,17€) y la dirección de envío completa para un nuevo intento de entrega haciendo clic en el siguiente enlace
ENVÍA MI PAQUETE
©Sociedad Estatal Correos y Telegrafos, S.A. Todos los derechos reservados.
Al darle a enviar mi paquete me aparecía la web de Correos y tenía que poner los datos de mi tarjeta para proceder al pago, no me dio ninguna confianza por lo tanto cerré y fuera.
Yo también estaba esperando unos cuantos de paquetes, tenía dudas pero algo raro veía.
El correo aún lo conservo, he intentado entrar en la página web de nuevo y Chrome me ha dicho que ese sitio no es seguro, vamos que me ha bloqueado la página..
Un saludo!
israel moya
pues chicos yo he caído, ignorante de mi.. me ha pillado esperando paquetes de alliexpres y lo primero que pensé que se habían retenido en aduanas y caí en la trampa.
También estaba en el trabajo, ocupado con otras cosas y toma un despiste una estafa.
Afortunadamente enseguida me di cuenta que no era muy normal y he cancelado la cuenta y he abierto una nueva..
rndl
Aplausos a @danielorodriguez, de los pocos comentarios acertados.
A mí me ha cantado bastante el sms, pero lo curioso es que lo he hablado con algunos amigos y todos lo han recibido, para más inri, con su nombre correcto (Tipo "Estimado Menganito, blablabla"). Y eso me canta bastante, si bien es cierto que seguramente conseguir número de teléfono y nombre en Internet no sea difícil (Damos los datos gratis muchas veces y en sitios públicos, tipo anuncios de segunda mano, Wallapops etc), con al menos 5 personas que usan Internet para 4 cosas ha acertado también. Y hablo de nombre de pila, no apodos, nicks ni nada parecido.
No descartaría yo una filtración real de datos de correos, y que alguien esté jugando con la información que haya podido obtener. Y luego está el "hackeo" a la cuenta de Twitter del otro día.
Por cierto, me parece bastante fácil caer en la trampa. Muchos piden tantas tonterías que ni se acuerdan. Y la cantidad a pagar aquí es irrisoria. Lo que no sé es si en España las aduanas se pagan vía Internet o no (en otros países te "secuestran" el paquete y luego te avisan de forma similar a éste sms para que pagues online).
miguelgracia
A mi casualmente me llegó uno de esos sms y estaba esperando un paquete de Canadá y otro de Japón, pero pasé ya que lo normal es que cuando te lo traen te venga con el cobro de las tasas y otras veces me ha llegado un e-mail informándome de la tasa a pagar al repartidor.