Tanto la OSI como el INCIBE alertan que se ha detectado una campaña de correos electrónicos suplantando a la Dirección General de Tráfico (DGT) que contiene un enlace que, al pulsar sobre él, descarga malware en el dispositivo.
Los correos identificados contienen el siguiente asunto para provocar el interés del usuario “Bloqueo del Vehiculo – Multa no pagada”, aunque no se descarta que existan otros correos con asuntos diferentes, pero con el mismo objetivo: incitar al usuario a descargar un fichero utilizando técnicas de ingeniería social.
El mensaje del correo se caracteriza por:
- Contener imágenes de logotipos oficiales que intentan dar más credibilidad al correo.
- Facilitar un enlace que simula pertenecer la sede electrónica de la DGT, pero que al pulsar sobre él, redirige a un domino que descarga el malware.
- Incluir textos con faltas de ortografía y mala redacción, lo que facilita su identificación como fraudulento.
- Usar un dominio en el correo electrónico del remitente (la parte que va después del @) con palabras relacionadas con el objetivo del fraude, como “multanopagada20” y “multasdelministraio”, que no pertenecen al dominio oficial de la DGT. Debemos recordar que el remitente del correo electrónico es bastante sencillo de falsificar.
Si se pulsa sobre la imagen que esconde el enlace fraudulento, se descargará automáticamente desde el navegador web en el dispositivo un archivo .zip que contiene malware.
Esta no es la vez que los ciberdelincuentes utilizan a la DGT como gancho para intentar infectarnos con malware. A finales de 2020 ya se detectó otra campaña similar.
¿Qué hacer?
Nuestros consejos para no caer en este tipo de estafas son:
- No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
- En caso de que el correo proceda de una entidad legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
- No contestar en ningún caso a estos correos.
- Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
- Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
- Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.
- Informa de los correos electrónicos sospechosos a tu equipo de seguridad. Adquiere el hábito de hacer esto siempre, aunque creas que no sirve para nada. Los delincuentes de suplantación de identidad no envían sus correos electrónicos solo a una persona a la vez, por lo que si eres el primero en la empresa en detectar una nueva estafa, una advertencia temprana permitirá que tu departamento de TI advierta a todos los demás que podrían haberlo recibido también.
- La concienciación y formación es fundamental para detectar esta clase de de correos fraudulentos. Productos como Sophos Phish Threat logran concienciar a los usuarios simulando campañas de ataques de phishing para empleados pero de una forma segura, mostrando los trucos que utilizan los ciberdelincuentes pero sin que se produzcan daños reales si alguien cae en la trampa.
- Busca señales obvias. Como hemos dicho muchas veces antes, lo único peor que ser estafado es ser estafado y luego darse cuenta de que las señales estuvieron ahí todo el tiempo. Los ladrones no siempre cometen errores obvios, pero si los cometen, asegúrate de encontrarlos.