La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (Incibe) ha alertado de una nueva campaña de phishing que suplanta a Correos y pide a los usuarios que paguen 1,79 euros para poder recibir un supuesto paquete que ha sido retenido.
Según informa el organismo, las víctimas reciben un correo electrónico en el que se les indica que, debido a que la dirección de destino es incorrecta, aún no han podido enviarles un paquete que tienen pendiente de entregar y que deben pagar los costes del envío del nuevo intento.
El asunto del mensaje es «RE: su número de envío [números aleatorios] está pendiente«, aunque no se descartan otros similares. Si el usuario que recibe el correo accede al enlace que contiene, se le redirige a una web falsa que simula ser la de Correos en la que se le pide que introduzca los datos de su tarjeta bancaria para realizar el pago de los 1,79 euros y completar la dirección de entrega. De introducir los datos, estos quedarán en poder de los ciberdelincuentes.
Trucos para evitar ser víctima de phishing
- Se precavido ante los correos que aparentan ser de entidades bancarias o servicios conocidos (Dropbox, Facebook, Google Drive, Apple ID, Correos y Telégrafos, Agencia Tributaria, etc.) con mensajes que no esperabas, que son alarmistas o extraños.
- Sospecha si hay errores gramaticales en el texto, pueden haber utilizado un traductor automático para la redacción del mensaje trampa. Ningún servicio con cierta reputación enviará mensajes mal redactados.
- Si recibes comunicaciones anónimas del tipo “Estimado cliente”, “Notificación a usuario” o “Querido amigo”, es un indicio que te debe poner en alerta.
- Si el mensaje te obliga a tomar una decisión de manera inminente o en unas pocas horas, es mala señal. Contrasta directamente si la urgencia es real o no directamente con el servicio o consultando otras fuentes de información de confianza: la OSI, Policía, Guardia Civil, etc.
- Revisa si el texto del enlace que facilitan en el mensaje coincide con la dirección a la que apunta, y que ésta corresponda con la URL del servicio legítimo.
- Un servicio con cierto prestigio utilizará sus propios dominios para las direcciones de email corporativas. Si recibes la comunicación desde un buzón de correo tipo @gmail.com, @outlook.com o cualquier otro similar, sospecha.
- Aplica la ecuación: solicitud de datos bancarios + datos personales = fraude.
