La Oficina de Seguridad del Internauta (OSI) ha detectado una campaña de smishing que suplanta a la empresa de paquetería Correos bajo el pretexto de una entrega suspendida por falta de información del número de la calle. Para poder efectuar una nueva entrega, instan al usuario a actualizar los datos del domicilio de entrega a través de un enlace.
⚠️#AVISO‼️Detectada campaña de #smishing suplantando a @Correos por medio de SMS que incitan a la víctima a indicar el número de su calle para recibir un supuesto paquete. #NoPiques, a través del enlace pretenden robar tus datos bancarios y personales👇
— Guardia Civil (@guardiacivil) May 16, 2023
🔗https://t.co/frEabfrH0d pic.twitter.com/NEEdHc2RYC
En este caso, la excusa de los ciberdelincuentes es actualizar unos datos erróneos sobre la dirección del usuario. Para realizar la rectificación de dicha información, el correo electrónico incluye un enlace, que, en realidad, redirige a una URL fraudulenta para robar los datos bancarios y personales de la víctima.
Cuidado con este mensaje de Correos que solicita actualizar los datos de tu domicilio para realizar una entrega
“Detectada campaña de #smishing suplantando a Correos por medio de SMS que incitan a la víctima a indicar el número de su calle para recibir un supuesto paquete. #NoPiques, a través del enlace pretenden robar tus datos bancarios y personales”, se alerta en un mensaje publicado en la cuenta oficial de la Guardia Civil en Twitter, otro de los organismos que se han hecho eco de este fraude. En la publicación adjuntan una captura de pantalla del SMS enviado supuestamente por Correos.
Hola Rei, efectivamente, no es un mensaje nuestro. En Correos nunca solicitamos datos personales ni transacciones económicas a través de @ o SMS. Aquí tienes algunos consejos para protegerte de este tipo de fraudes: https://t.co/Jil64MuxGg Gracias y un saludo!
— CorreosAtiende (@CorreosAtiende) May 9, 2023
En el cuerpo del mensaje, los delincuentes advierten que la entrega del paquete ha quedado desatendida por falta de información sobre los datos de entrega. Para solucionarlo, se solicita a las potenciales víctimas que actualicen los datos del número de la calle para poder reprogramar la entrega del paquete. El SMS viene acompañado con la dirección de enlace que suplanta a la de Correos. Una de las primeras pistas que deben ponernos en alerta de que se trata de un fraude son los errores gramaticales y de redacción, asimismo la URL no guarda relación con la oficial (correos.es).
En esta supuesta web de Correos se muestra el seguimiento del paquete retenido: “Se ha notificado al destinatario que complete la dirección para volver a realizar la entrega”. En caso de que se continúe para programar la entrega, se redirige a un formulario para rellenar los datos personales, nombre, dirección, código postal, localidad y teléfono.
El siguiente paso, muestra una ventana en la que se solicitan los datos bancarios para realizar el envío por el cose de 0,80 €. Desde Correos advierten que nunca piden transacciones bancarias a través de SMS, por lo que desconfiemos de la solicitud de un pago.
Claves para no caer en la trampa
Este tipo de SMS o correos electrónicos que suplantan la identidad de Correos cada vez son más frecuentes, a menudo se utilizan logotipos, colores y avisos legales de la empresa para que aparenten autenticidad. La Oficina de Seguridad del Internauta señala que se trata de una estafa para conseguir datos personales y bancarios.
Correos recomienda ignorar estos mensajes y eliminarlos. Sugieren a los usuarios que antes de responder a estos SMS se hagan la siguiente pregunta: ¿estás esperando un envío, eres cliente de Correos o estás suscrito a algún servicio? En caso de que la respuesta no sea afirmativa, recomiendan desconfiar de este tipo de comunicaciones.
Si por el contrario el usuario estuviera esperando una entrega, este tipo de notificaciones pueden conseguir su objetivo: generar dudas. Así, es importante poner atención a la dirección de la URL que se adjunta en el enlace. Muchas veces se trata de dominios que no existen. También se debe estar atentos si aparecen en el SMS o en el correo electrónico faltas de ortografía u otros errores, ya que son otra pista sospechosa. Ninguna empresa o institución comete este tipo de fallos, ya que pueden dañar su imagen de marca.
La empresa de paquetería revela, además, que nunca solicita información personal como datos bancarios o contraseñas a través de correos electrónicos o mensajes.
En caso de duda sobre la veracidad del mensaje, el organismo invita a los usuarios a que se pongan en contacto para comprobar la existencia de ese envío o para avisar en caso de que se haya detectado algún tipo de fraude. “Puedes ponerte en contacto con Atención al Cliente”, señala la compañía.
Fuentes y herramientas
Web oficial de la Oficina de Correos
Oficina de Seguridad del Internauta (OSI)