La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (Incibe) ha alertado de una masiva campaña de suplantación a la Policía Nacional mediante técnicas de phishing con la intención de distribuir malware a través de una presunta citación para regular el estado del expediente.
En el mensaje del correo se advierte que la incomparecencia del aviso puede conllevar medidas legales con el objetivo de que el usuario acceda de manera urgente al enlace. Esta campaña utiliza la excusa de una supuesta citación oficial de la Policía Nacional que informa a la víctima de la necesidad de regular su expediente en una fecha cercana a la de la recepción del correo. El mensaje insta al usuario a descargar la documentación de su expediente a través de un enlace, el cual contiene un archivo malicioso que ejecutará el malware en el dispositivo.
Se ha detectado correos con asuntos como: “Notificación oficial: Expediente 255XXXXXX” y una dirección de origen que suplanta el dominio de la Policía Nacional, posiblemente a través de la técnica mail spoofing: Dirección General de la Policía <registro.XXXXXX@policia.es> No se descarta que estos fraudes puedan llegar a utilizar otros asuntos con variaciones en el código del supuesto expediente u otras direcciones que suplanten el dominio “@policia.es”.
Existen algunos indicios que nos pueden hacer sospechar que se trata de un correo fraudulento. Podemos observar que el contenido del correo es simple, sin hacer uso de logos y datos de contacto oficiales. Además, aunque en esta estafa llegan a suplantar el dominio de la Policía “@policia.es”, hacen uso de nombres genéricos no usados por esta institución como “correo_registro” y similares.
Ejemplo de uno de los tipos de correo que se están distribuyendo en esta campaña de suplantación.
Al analizar el archivo .vbs descargado a través de la herramienta online VirusTotal, se observa que varias firmas de antivirus lo detectan como malicioso.
Solución
En caso de que hayas recibido un email con las características previamente señaladas, pero no has pulsado en el enlace, te recomendamos que lo reportes al buzón de incidentes. De esta manera, podremos alertar y evitar que otros usuarios sean víctimas de esta suplantación.
Acto seguido, deberías bloquear al remitente y eliminar el correo de tu bandeja de entrada. Por otra parte, si has accedido al enlace, descargado el archivo, pero no lo has ejecutado, elimínalo de tu carpeta de descargas y vacía posteriormente la papelera de reciclaje.