Nuevas técnicas de phishing durante la cuarentena

Cómo están aprovechando los cibercriminales los problemas de entrega durante la pandemia y cómo no caer en su trampa.

Sería complicado dar con un ámbito de la actividad humana que no se haya visto afectado por la pandemia del coronavirus y los servicios de envío urgente no son ninguna excepción. Los flujos de transporte entre países se han visto interrumpidos y empieza a haber escasez de aviones de mercancías, dado que particulares y empresas continúan solicitando productos tanto de su país como del extranjero. De hecho, se ha disparado la demanda de ciertos artículos.

Este aumento de la demanda está generando que los plazos de envío aumenten. Como consecuencia, los clientes se están acostumbrando a recibir mensajes de disculpa relacionados con la actualización del estado de su pedido. Estos días, hemos observado una gran cantidad de sitios falsos y correos electrónicos supuestamente de servicios de envío que aprovechan el tema del coronavirus. Los cibercriminales están utilizando tanto tácticas ya comprobadas, como nuevos esquemas.

Spam con archivos adjuntos maliciosos

Los cibercriminales pueden hacerse pasar por empleados del servicio de envío para persuadir a las víctimas a abrir los archivos adjuntos de los correos electrónicos. El truco habitual es decir a la víctima que para recibir un paquete que viene en camino, el destinatario primero debe leer o confirmar la información en un archivo adjunto.

Por ejemplo, un correo electrónico de notificación de entrega en un inglés incorrecto que afirma que no se puede entregar el paquete debido a la pandemia, por lo que el destinatario deberá acudir al almacén y recogerlo en persona.

Según afirma el propio correo, la dirección del almacén, junto con otro tipo de información interesante, se encuentra en el archivo adjunto que, una vez abierto, instala una puerta trasera Remcos en la computadora. Entonces, los cibercriminales pueden hacer que el equipo se una a un botnet o, simplemente, robar los datos o instalar otro programa de malware.

Notificación de envío falsa

Notificación de envío falsa.

 

Los autores de otro correo electrónico falso utilizan un truco similar, alegando que la empresa no ha podido entregar el paquete debido a un error de etiquetado. Se solicita a la víctima que confirme la información en el archivo adjunto, que realmente contiene a otro miembro de la familia Remcos.

Esto criminales fingen ser de una empresa de envío urgente, pero la dirección los delata.

Esto criminales fingen ser de una empresa de envío urgente, pero la dirección los delata.

 

A veces los cibercriminales introducen imágenes de documentos en el mensaje para otorgar credibilidad con trucos de spear phishing. En el siguiente ejemplo, los cibercriminales añadieron una pequeña imagen al texto del correo electrónico. Parecía un recibo, pero era tan pequeño que no se podía leer y no cambiaba de tamaño al hacer clic, lo que provocó que el destinatario abriera el archivo adjunto malicioso, cuyo nombre contenía “.jpg”.

Si el cliente de correo electrónico del destinatario no muestra la extensión real del archivo, podrían confundir dicho archivo adjunto con la imagen. En realidad, se trata de un archivo ACE ejecutable que contiene el programa spyware Noon.

Para apresurar a la víctima de este ataque de phishing durante la cuarentena, los cibercriminales afirman que necesitan la información que falta con urgencia para entregar el paquete antes del cierre.

Correo electrónico falso de un servicio de envío que contiene un archivo con una doble extensión

Correo electrónico falso de un servicio de envío que contiene un archivo con una doble extensión.

 

Otro tema en los correos electrónicos maliciosos que no es nuevo pero que es especialmente relevante en la situación actual son los retrasos en la entrega. El escenario es totalmente plausible: los estafadores incitan a la víctima a descargar un archivo adjunto que contiene el troyano Bsymem que, si se ejecuta, permite a los atacantes tomar el control del dispositivo y el robo de datos. La parte final del mensaje incluye una declaración que afirma que se ha escaneado por una solución de seguridad de correo y no se han encontrado archivos o enlaces maliciosos, con el objetivo de transmitir al destinatario una falsa sensación de seguridad.

Notificación falsa sobre una demora en la entrega de un paquete debido al COVID-19

Notificación falsa sobre una demora en la entrega de un paquete debido al COVID-19.

 

Muchos cibercriminales simplemente introducen una mención al COVID-19 en sus plantillas de correo habituales, pero otras se centran especialmente en la cuarentena por coronavirus y en la rápida expansión de la pandemia.

Por ejemplo, en uno de los casos, el gobierno ha prohibido la importación de cualquier tipo de bienes al país, por lo que el paquete se ha devuelto al remitente.

Los cibercriminales afirman que el gobierno ha prohibido la importación de bienes al país

Los cibercriminales afirman que el gobierno ha prohibido la importación de bienes al país.

 

El archivo adjunto supuestamente contiene un número de seguimiento de pedido para solicitar un reenvío después de que disminuyan las restricciones de salud relacionadas con el coronavirus. Pero al abrir el archivo, corres el peligro de instalar la puerta trasera Androm, que concede a los atacantes el acceso remoto a la computadora.

Phishing

Los cibercriminales especializados en ataques de phishing también se están aprovechando del caos en el mercado de entregas. Hemos detectado copias muy fieles a la originales de sitios web legítimos, así como de páginas de seguimiento falsas. Evidentemente, todas ellas hacen mención al coronavirus.

Por ejemplo, los cibercriminales que se marcan como objetivo las cuentas de los clientes de los servicios de envío copian al detalle la página de inicio oficial de la empresa, incluidas las últimas noticias sobre la pandemia.

Sitio web oficial (izquierda) y fuente de phishing que pretende parecerse al sitio web (derecha)

Sitio web oficial (izquierda) y fuente de phishing que pretende parecerse al sitio web (derecha).

 

No menos detallado es este clon de otro sitio web de servicios de envío, que también menciona las últimas noticias sobre el coronavirus.

Recurso de phishing hecho para parecerse al sitio web de otro servicio de envío

Recurso de phishing hecho para parecerse al sitio web de otro servicio de envío.

 

Los autores de este portal falso, destinado supuestamente al seguimiento de los paquetes, agregaron COVID-19 al apartado de derechos de autor. No hay mucha más información en la página: un formulario para introducir credenciales y una lista de servicios de correo electrónico “socios”. No hace falta decir que, si introduces las credenciales en esta fuente, esta las envía directamente a los cibercriminales y el destino del paquete seguirá siendo desconocido.

Página falsa de seguimiento de paquetes

Página falsa de seguimiento de paquetes.

 

Cómo no morder el anzuelo

En el contexto de la pandemia y la gran cantidad de demoras reales que se están generando en la entrega de los paquetes, los sitios falsos y los correos electrónicos tienen una buena probabilidad de éxito, especialmente si realmente estás esperando un paquete o si, por ejemplo, has recibido información sobre el envío en tu correo electrónico de trabajo y tienes motivos para pensar que un colega podría haber realizado el pedido. Para evitar ser víctima de estos ataques de phishing durante el coronavirus:

  • Comprueba minuciosamente la dirección del remitente. Si el mensaje proviene de un servicio de correo electrónico gratuito o contiene un conjunto de caracteres sin sentido en el nombre del buzón, lo más probable es que sea un correo falso. Sin embargo, ten en cuenta que se puede falsificar la dirección del remitente.
  • Presta atención a la calidad del texto. Una empresa de importancia nunca enviaría correos electrónicos con el formato de texto torcido o con una gramática incorrecta.
  • No abras archivos adjuntos en correos electrónicos de servicios de envío, sobre todo si el remitente insiste en ello. En su lugar, inicia sesión en tu cuenta personal en el sitio web del servicio de mensajería o introduce manualmente la dirección del servicio en tu navegador para comprobar el número de seguimiento. Ten en cuenta también estos consejos de ciberseguridad si recibes un correo electrónico que te invita a hacer clic en un enlace.
  • Ten especial cuidado si un mensaje menciona al coronavirus. Los cibercriminales explotan temas actuales para intentar atraer tu atención, por lo que nunca debes apresurarte a cumplir con lo que dicen estos mensajes; es buena idea instruir a tus empleados en ciberseguridad básica.
  • Instala una solución de seguridad de confianza que detecte archivos adjuntos maliciosos y bloquee los sitios web de phishing.

Consejos