Si recibes un mensaje SMS de Correos diciéndote que tu paquete no se ha podido entregar porque no se pagaron los aranceles aduaneros, ten cuidado. Es un phishing como una casa. Es decir, que pretende hacerse pasar por Correos para engañarte para que pagues un dinero a un destinatario desconocido creyendo que lo harás a Correos.
Tabla de contenidos
Phishing de Correos
El mensaje es nominativo y en concreto dice así:
Estimado, [tu nombre], su paquete no se pudo entregar el 18/10/2019 ya que no se pagaron los aranceles aduaneros. Siga estas instrucciones: htttp://mh6.us/dVlKm
Al pulsar en el enlace corto, llegarás a una URL más complicada aún, que no tiene nada que ver con Correos y bastante sospechosa: paquete.deliveryupdate.international/
Y si fueras tan ingenuo (o curioso) como para continuar hasta el siguiente paso, llegarás a esta otra página con una nueva URL sospechosa: es.firstreward.com.
En ella se te piden tus datos personales y que pagues la cantidad de 1 euro con diversos medios alternativos. Habría que ser muy ingenuo como para continuar y pagar, pero seguro que alguno de los millones de destinatarios de estos SMS acaba haciéndolo.
¿Cómo saber que un mensaje SMS es phishing?
Es muy fácil discernir si un mensaje que recibes es de phishing por SMS.
Básicamente porque la suplantación de identidad de un banco o de Correos, es demasiado evidente. En cualquier caso sigue estas precauciones para confirmar que un SMS o mensaje por email es falso y tiene una intención perjudicial para tus intereses.
- Pregúntate y pregunta a tus familiares si han enviado o si esperan recibir un paquete a través de Correos.
- Como el mensaje tiene que ver con «despachos aduaneros», investiga si has /habéis hecho un envío a Canarias, Ceuta o Melilla que son los únicos territorios españoles donde se deben pagar estos aranceles aduaneros.
- Fíjate en la URL del mensaje que supuestamente debes clicar para regularizar tu supuesto incumplimiento. Empieza por http, cuando prácticamente ninguna web que quiera convencer a los usuarios se aloja en servidores no seguros. La gran mayoría de webs donde se te pidan datos personales o pagos empiezan por https, que indica que se trata de una web alojada en un servidor seguro.
- Piensa que ni Correos ni tu banco ni nadie te debería pedir que pagaras nada ni que facilitaras los datos de ningún medio de pago.
Qué es el phishing
El “phishing” toma sus siglas del inglés “password harvesting fishing” (recolección y pesca de contraseñas).
El phishing es una técnica ilegal y fraudulenta para conseguir mediante el engaño las claves (usuario y contraseña) o los medios de pago de un internauta.
Es decir, que el phishing es una forma de suplantación de identidad en Internet intentando que el usuario inroduzca sus claves personales en una falsa web, creyendo que lo hace en el titular de la misma (bancos, tiendas online, Correos, etc.).
El phisher es la persona que fraudulentamente se hace pasar por una web de confianza con el mismo aspecto que la original, para obtener información sensible del usuario que usar para su provecho y a costa del usuario engañado.
Denunciar phishing
Si nos damos cuenta de que ha sido suplantada nuestra identidad debemos, ante todo, mantener la calma. Y, por supuesto, denunciar los hechos ante la Guardia Civil o la Policía. En este caso concreto, ya han alertado de este phishing el Instituto Nacional de Ciberseguridad (INCIBE) y la Oficina de Seguridad del Internauta (OSI).
Qué es spam
El “spam”, “correo no deseado” o “correo basura” es cualquier comunicación por vía electrónica que no ha sido solicitada ni esperada por el internauta, con el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa.
La forma más extendida de spam es a través del correo electrónico aunque se puede hacer también a través de mensajes SMS a nuestro móvil (spam telefónico) o a nuestro fax. Quienes se dedican a esta actividad reciben el nombre de “spammers”.
Como puedes ver, el spam no tiene tanto que ver con el phishing que es suplantar la personalidad de una empresa o institución para robarte datos personales o incitarte a desembolsar dinero, haciéndote creer que lo estás haciendo a la entidad original suplantada.