INCIBE alerta que se ha detectado una campaña de envío de correos electrónicos maliciosos que utilizan técnicas de ingeniería social, algunos de ellos suplantando a entidades conocidas, que intentan engañar al usuario para que descargue un archivo comprimido en formato .zip que contiene malware.
En esta campaña, los correos pueden tener asuntos como:
- Fwd: Urgente – Proceso de trabajo Extrajudicial Nº (******)
- Fwd: Servicio Tributaria – Nº (******)
- AVISO – Reclamación electrónica – Nº (******)
- Fwd: Recibo bancario – Nº (******)
- Copia de seguridad de mensajes de WhatsApp Nº (******)
- ultima advertencia – Envio de Burofax Online
En todos ellos, en el cuerpo del correo se insta a descargar algún tipo de documento o archivo con diferentes pretextos, que en realidad redirige a la descarga de un archivo comprimido infectado.
A través de estos fraudes los ciberdelincuentes tratan de distribuir un tipo de malware, identificado como Trojan Downloader o Dropper, que a su vez podría descargar otros tipos de malware, los cuales pueden tomar el control del dispositivo afectado, y realizar acciones maliciosas o dañinas para la víctima, como por ejemplo, robar datos personales o infectar nuevamente el equipo con otro tipo de software malicioso específico para llevar a cabo sus objetivos.
Una vez se pulsa sobre los enlaces indicados en el cuerpo de los distintos correos, se abre el navegador para descargar el archivo malicioso, como se muestra en la siguiente imagen:
Además INCIBE alerta de otra campaña que intenta suplantar al Ministerio de Asuntos Económicos y Transformación Digital (MAETD) sobre una factura electrónica. En dicha campaña, se envía un correo al usuario con el asunto « XXXXX – Una factura electrónica», las XXXX son números. En el cuerpo del mensaje, con un logotipo de Factura-e y un pie de firma con el nombre del citado Ministerio, se informa sobre la factura expedida al usuario, citando su nombre. El mensaje incluye varios links sobre los textos, como un código, un número y un enlace en el que la URL mostrada parece proceder de «fiscal.es». Todos los enlaces llevan a la descarga de un archivo comprimido en formato .zip que simula ser la factura y que contiene malware.
Recuerda que si recibes cualquier notificación vía correo electrónico, debes acceder a través de la web del servicio que realiza dicha notificación y no hacer clic en los enlaces que contenga el correo. ¡Comprueba las URL!
¿Qué hacer?
Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.
Nuestros consejos para no caer en este tipo de estafas son:
- No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
- En caso de que el correo proceda de una entidad legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
- No contestar en ningún caso a estos correos.
- Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
- Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
- Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.
- Informa de los correos electrónicos sospechosos a tu equipo de seguridad. Adquiere el hábito de hacer esto siempre, aunque creas que no sirve para nada. Los delincuentes de suplantación de identidad no envían sus correos electrónicos solo a una persona a la vez, por lo que si eres el primero en la empresa en detectar una nueva estafa, una advertencia temprana permitirá que tu departamento de TI advierta a todos los demás que podrían haberlo recibido también.
- La concienciación y formación es fundamental para detectar esta clase de de correos fraudulentos. Productos como Sophos Phish Threat logran concienciar a los usuarios simulando campañas de ataques de phishing para empleados pero de una forma segura, mostrando los trucos que utilizan los ciberdelincuentes pero sin que se produzcan daños reales si alguien cae en la trampa.
- Busca señales obvias. Como hemos dicho muchas veces antes, lo único peor que ser estafado es ser estafado y luego darse cuenta de que las señales estuvieron ahí todo el tiempo. Los ladrones no siempre cometen errores obvios, pero si los cometen, asegúrate de encontrarlos.