Site icon Panda Security Mediacenter

Pincha aquí, tu paquete está retenido. Pero…, ¿qué paquete?

Uno de los intentos de phishing más comunes últimamente es el de la supuesta empresa de mensajería que nos pide pinchar en un enlace para confirmar datos, desbloquear un envío o hacer un pago. Las compañías del sector, las más afectadas por esta práctica.

El gran foco del mundillo del phishing está pasando de la banca a la mensajería. Aunque es cierto que sigue habiendo multitud de mensajes falsos de entidades financieras, seguramente la bandeja de spam de la mayoría de nosotros tendrá tres o cuatro veces más correos haciéndose pasar por Seur, Amazon o GLS que pretenden hacernos creer que hay un paquete que requiere nuestra atención -y que pinchemos en un enlace o metamos nuestros datos-.

Y es que el boom del comercio electrónico, especialmente en momentos de gran crecimiento de la demanda y de las compras online, como el black friday o la campaña de Navidad, ha hecho que los envíos a domicilio se multipliquen tanto que sea rara la semana en que no esperemos algún paquete. Los ciberdelincuentes lo saben y lo aprovechan. Nos dirán que hay un envío a nuestro nombre, que no pueden entregarlo hasta que realicemos un pago o que, si no respondemos rápidamente, lo devolverán al remitente. “Hablamos de los casos de phishing a través del correo electrónico, pero este tipo de amenazas se están dando también, y mucho, por vía telefónica. Os sorprendería saber cuántas personas siguen hoy día ‘picando’ en estafas de este tipo”, afirma Hervé Lambert Global Consumer Operations Manager de Panda Security.


A esa práctica más común de enviar mensajes de spam de forma masiva con un asunto del estilo: ‘tiene usted un paquete pendiente’, se suman los casos más flagrantes y difíciles de detectar en que el ciberdelincuente tiene, de verdad, los datos de usuarios que sí esperan un paquete.


Modalidades de fraude

Como decimos, la el modo más habitual de llevar a cabo esta práctica es el envío masivo de emails, pero también hay otros modos a los que los usuarios deben prestar atención, como:

Robo de datos muy real

Por otro lado, a esa práctica más común de enviar mensajes de spam de forma masiva con un asunto del estilo: ‘tiene usted un paquete pendiente’, se suman los casos más flagrantes y difíciles de detectar en que el ciberdelincuente tiene, de verdad, los datos de usuarios que sí esperan un paquete. Ya ha habido casos. Por ejemplo, la propia UPS ha tenido que admitir y avisar de que puede haber ciberdelincuentes que roben datos de su herramienta de seguimiento de envíos para enviar mensajes de phishing, con el nombre y apellidos del usuario e incluso números de seguimiento ‘reales’. “Este tipo de fraude, claro, es mucho más difícil de detectar por el usuario, que en realidad sí espera su paquete y puede temer que haya habido alguna incidencia”, explica Lambert. “No está de más recordar que una empresa de mensajería nunca va a solicitar un pago y que, en caso de duda, siempre es mejor ir a la página oficial y comprobar, desde ahí, si la incidencia es real, en lugar de pinchar en ningún enlace recibido por email”. 

“No está de más recordar que una empresa de mensajería nunca va a solicitar un pago y que, en caso de duda, siempre es mejor ir a la página oficial y comprobar, desde ahí, si la incidencia es real, en lugar de pinchar en ningún enlace recibido por email”.

Es lo que piden las propias compañías, como Seur, en sus mensajes hacia los usuarios. Además de las fechas o el tipo de envío que estemos esperando, nos recomiendan prestar atención en el nombre de la empresa a la que supuestamente pertenece el pedido, y a la URL proporcionada. Los mensajes ‘gancho’ tienden a incluir enlaces poco fiables y fácilmente reconocibles como falsos. 

También, y no menos preocupante, ese robo de datos (recordemos, con nombre y dirección) puede hacer que los malhechores se presenten directamente en la puerta de casa haciéndose pasar por un mensajero para, en los casos más graves, tratar de entrar a robar.

Algunos consejos de mensajería

Desde Panda Security nuestro principal consejo al recibir un email (o SMS, o llamada) de este tipo sería no precipitarnos y, seguidamente, prestar atención a lo siguiente:

 

Exit mobile version