La Oficina de Seguridad del Internauta (OSI) ha dado el aviso sobre una nueva campaña de smishing en la que los ciberdelincuentes suplantan la identidad de Correos.
A través de esta nueva campaña de smishing, los ciberdelincuentes aseguran a las víctimas que tienen un paquete de Correos en aduanas y que, para que les llegue, deben pagar una cantidad de dinero en una web. Los estafadores quieren que las víctimas entreguen los datos de su tarjeta de crédito al rellenar un formulario en esa web falsa, la cual imita a la página oficial de Correos.
El remitente del SMS es un número que no está asociado a Correos. El SMS pretende conseguir que los usuarios pulsen en el enlace e introduzcan los datos de la tarjeta, para después abonar un pago mínimo inferior a 3€ y recibir el paquete.
¿Qué dicen los SMS fraudulentos?
Algunos ejemplos de los mensajes recibidos por las víctimas son los siguientes:
“CORREOS: Estimado, cliente su paquete ha sido retenido por aduanas. Para el envio pague las tasas (2,64€) accediendo al enlace: url fraudulenta”
“SERVICIO CORREOS: Su paquete esta listo para la entrega confirme el pago de aduanas de (1,79€) en el siguiente enlace: url fraudulenta”
“Recibirá su envio de Correos. Los cargos de gestión AEAT son 2,39€. Confirme el pago para continuar con el proceso de entrega: url fraudulenta”
“[CORREOS] Estimado cliente: Su paquete no se ha podido entregar el 17/11 porque no se han pagado las tasas de aduana (2.64€): Siga las instrucciones: url fraudulenta”
Como se puede observar, todos tienen alguna falta de ortografía, lo cual es una pista clave para saber si se trata de un SMS fraudulento o no.
Recomendaciones para los usuarios sobre esta campaña de smishing
La OSI recomienda no pulsar en los enlaces que vienen en los SMS y que no se faciliten datos personales ni bancarios. Si ya has caído en la trampa, debes llamar rápidamente a tu entidad bancaria y solicitar la cancelación de la tarjeta de crédito o débito.
Otra acción recomendable para los usuarios es que hagan capturas de pantalla de los SMS fraudulentos y lo denuncien ante las Fuerzas y Cuerpos de Seguridad del Estado. Tanto la Policía Nacional como la Guardia Civil han avisado de este caso de smishing a través de Twitter.
Si realmente estás esperando un paquete de Correos y dudas sobre la veracidad de un SMS o correo electrónico, lo que debes hacer es consultarlo en la web oficial de la entidad. Se puede utilizar el servicio de atención al cliente, o usar el verificador de correos electrónicos que posee Correos, para comprobar el estado del envío.
Por otro lado, si has recibido el SMS, pero no has pulsado sobre él, o has pulsado sobre el enlace, pero no has entregado ningún dato, sólo tendrás que eliminar el SMS fraudulento de tu bandeja de entrada. Es importante revisar siempre la URL que acompaña al mensaje para saber si se trata de un fraude o no.
La OSI no descarta que esta campaña utilice otro medio de comunicación como el correo electrónico (phishing) o mensajería instantánea.