Correos vuelve a ser protagonista, una vez más, de una campaña de phishing. Aquí se podría añadir el clásico meme de Internet «Da igual cuándo leas esto». Sin embargo, hoy he encontrado un análisis bastante completo de una de estas campañas, en el que los autores siguieron los pasos indicados por los ciberdelincuentes, tomando eso sí buena nota de toda la información que arrojaba el proceso. Un procedimiento que, por su interés, me parece que merece la pena compartir.
La investigación ha sido llevada a cabo por Protegerse, el blog de seguridad de Ontinet y parte de la recepción de un mensaje SMS que simula haber sido enviado por Correos (aunque todavía no menciona el nombre de la compañía). En el mismo se informa al usuario de que ha recibido un paquete, pero que éste ha sido retenido en un centro de distribución.
¿La solución? Claro, hacer click en el enlace que se muestra al final del mensaje para realizar un seguimiento del envío y solucionar las posibles incidencias. Un primer vistazo a dicho mensaje ya debería hacernos sospechar. ¿Por qué? Varias razones:
- Los mensajes de Correos siempre se muestran, al recibirlos, como enviados por la misma.
- El código de identificación del envío no tiene ni el formato ni la longitud de los empleados por la misma. Falta, por ejemplo, el código postal del destinatario, que ocupa las últimas posiciones del mismo, con solo un caracter a su derecha.
- El lenguaje del mensaje cojea en algunos puntos. Por ejemplo, un paquete no se «detiene», en todo caso se retiene o se inmoviliza. Tanto la elección del verbo rastrear como la conjugación del mismo no son adecuadas. Lo normal sería encontrar un «Haga seguimiento de su envío», «Consulte el estado de su envío», etcétera. ¿Rastrear? ¿Qué somos, un basset hound?
- La URL también tiene su aquel, ya que Correos no emplea ese acortador de direcciones y, de emplear uno, seguramente sería propio, con una URL corta que sí que se asociara de alguna manera con la imagen de marca corporativa.
Si pese a todas esas señales todavía no estamos seguros de que no estamos seguros, es posible que hagamos click con el dedo en el enlace, a fin de ver la página web. ¿Y qué es lo que nos encontraremos? Pues esta página web que, con más pena que gloria, pretende ser la que ofrece acceso al seguimiento de pedidos:
En este punto, cualquier persona que haya realizado alguna gestión en la web de Correos en los últimos años, ya habrá notado que cualquier parecido con la realidad es pura coincidencia. Al igual que hemos hecho con el SMS, veamos los puntos que nos señalan que estamos frente a un scam:
- Pronto se cumplirá un año desde el sonado, y en algunos puntos polémico, cambio de imagen de Correos. Un cambio en el que el rediseño del logo capitalizó gran parte de la atención. Pese a ello, los scammers tras esta campaña han empleado el logotipo antiguo, demostrando no estar demasiado actualizados…
- Ya lo mencioné antes: el diseño de esta página no tiene absolutamente nada, pero nada que ver con el de la página real de seguimiento de correos. Si no la conoces puedes verla haciendo click aquí.
- Me he guardado lo mejor para el final. Si comprobamos la URL de esta página, vemos que está alojada en el servidor https://offer.singleparents.online que, en realidad, corresponde a un supuesto (no lo he analizado en profundidad) servicio online para encontrar pareja. ¿Qué sentido podría tener que la página web de seguimiento de Correos, en vez de alojarse en sus propios servidores, recurriera a la infraestructura de un servicio de este tipo… y de Chipre?
- Y un último detalle, «Correos de España». La identidad corporativa es Correos, sin en país como «apellido». ¿Sospecharías si recibieras una comunicación de «Bankia de España», «Renfe de España» o «Iberia de España»? Si, ¿verdad? Pues hablamos de lo mismo.
Correos no sabe dónde vives
Llegados a este punto, ya resulta más que evidente que nos encontramos frente a un scam. Sin embargo, los investigadores de Protegerse decidieron seguir con el proceso. Tras introducir cualquier texto (sí, lo que sea, evidentemente la web no está validando nada), lleva al usuario a una nueva página en la que se felicita al usuario por haber desbloqueado el envío, y se le indica que deberá facilitar sus datos personales y proceder al pago de un euro en concepto de… ah, no, ni siquiera se explicita un concepto. Por el artículo 33. Y esto nos lleva aquí:
Visto lo visto, Correos debe ser la única empresa de correo, mensajería y paquetería del mundo que acepta un envío con, tan solo, el número de teléfono del usuario (para enviarle el SMS, claro). Porque, en caso contrario, ¿qué sentido tiene que se te pida TODA la información de entrega en un formulario? ¿De veras tienen que entregarte un envío y ni siquiera saben dónde vives? Sería cómico si no fuera un acto delictivo.
Y llegamos, claro, al último paso de la operación, al pago:
Todo parece correcto… especialmente la información que se muestra, bajo el botón verde, y que nos informa de que nuestro pago a Correos lo recibirá Bellarose Limited Gialtas 20, Ground Floor, Agios Nikolaos, 3100, Limassol, Cyprus. No, ya lo mencioné en el título del mensaje y lo repito ahora, nuestra compañía postal no tiene sede fiscal (ni de ningún otro tipo) en Chipre.
Pese a ello, el equipo de Protégete decidieron dar un voto de confianza y, cito textualmente, «En nuestro caso simulamos un pago con un número de tarjeta generado de forma aleatoria y aceptó el pago como válido«, como puedes comprobar en la captura de la derecha. Cabe esperar que cuando Correos reciba el euro (puede tardar un poco, recordemos que tiene que venir desde Chipre), recibirán el paquete.
De esta interesante prueba aprendemos que aunque el phishing se ha sofisticado bastante en los últimos años, todavía sigue siendo detectable por bastantes elementos que no resisten la prueba de un análisis crítico. Un análisis que debemos hacer siempre, y aún más si resulta que Correos nos quiere entregar un paquete del que, y esto es otro detalle importante, no sabíamos absolutamente nada hasta el momento de recibir el mensaje SMS.
Imágenes: Protegerse.com
La entrada No, Correos no tiene su sede fiscal en Chipre es original de MuySeguridad. Seguridad informática.