Los cibercriminales no paran y ahora sus nuevas víctimas son los usuarios de FedEx. A través de una campaña de phishing que usa correos electrónicos que imitan al servicio de envíos, los atacantes buscan robar datos financieros, alertó ESET Latinoamérica.
El engaño consiste en hacer creer a las personas que hay un paquete retenido en Aduana, y que se debe realizar una determinada gestión para destrabar el envío. Para generar confianza, el mensaje provee incluso un supuesto número de seguimiento de un envío.
Lo que buscan es que la víctima ingrese sus datos para hacer un pago ficticio como canon para liberar el paquete retenido. De esta manera, los atacantes recolectan información financiera verificada con la que pueden cometer otras estafas o venderlas en mercados ilegales de la darkweb.
“Los correos utilizan la misma tipografía y diseño de FedEx, dirigiendo a los usuarios a un sitio web falso que imita la estética de la marca. El sitio guía a la víctima a través de varios pasos antes de solicitar información sensible, como datos de tarjeta de crédito, para liberar el supuesto paquete retenido”, advierte Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.
¿Cómo se ejecuta el engaño?
Para detectar la estafa, los usuarios deben estar alertas de los correos que reciban. El mensaje del fraude llega bajo el asunto “entrega de paquete suspendida”. En el cuerpo se aprecia la estética de la marca FedEx, con un alto grado de similitud y la firma de FedEx Express para darle legitimidad.
El correo incluye un botón de “resolución de problemas”, que lleva a una URL que nada tiene que ver con la empresa real. Ahí, aparecen una serie de pasos para destrabar la «entrega de paquete».
Si la víctima continúa todos los pasos, el sitio falso la guiará para hacer el pago y que pueda recibir el supuesto paquete retenido. Para ser más creíbles, se programa hasta una fecha de entrega. Finalmente, en el sitio donde se redirige para efectuar el pago, los criminales cibernéticos obtienen los datos de la tarjeta de crédito del usuario.
Según ESET, los ciberatacantes buscan que las víctimas paguen un monto en pesos y, si ingresan datos no válidos, el sistema advierte la situación, incitándolas a proporcionar datos verdaderos para realizar el pago.
Esta verificación de los datos la realizan los cibercriminales a partir de una página legítima de compra de gift cards, usando su pasarela de pago, que contrasta los datos ante las principales empresas de tarjetas de crédito.
Recomendaciones para no caer en el engaño
Ante esto, ESET comparte algunos consejos de seguridad básicos para evitar caer en este tipo de engaños:
- Utilizar tarjetas de crédito y débito virtuales para hacer compras online. La mayoría de los servicios financieros y billeteras virtuales incorporan esta funcionalidad para hacer pagos a través de wallets.
- Desconfiar de comunicaciones que no se esperen, y sobre todo si presentan una urgencia e instan a actuar rápidamente. Siempre chequear con la entidad comunicándose a los canales oficiales.
- Chequear que la página a la que ha ingresado y donde se brindaran datos personales sea segura y la URL corresponda a la real.
“Tal como pudimos observar en este caso hay situaciones comunes a las distintas estrategias utilizadas por los ciberatacantes cuando despliegan phishing: ganarse la confianza con el usuario y transmitir un sentido de urgencia. Es importante estar atentos y no dejarnos llevar por las apariencias”, concluye Mario Micucci de ESET.
