Delitos InformáticosSuplantan identidad de Correos de Costa Rica para fraudes con tarjetas bancarias.

A nivel mundial, los ciberdelincuentes están suplantando la identidad de empresas de servicios postales, como Correos de Costa Rica, principalmente a través de mensaje de texto (SMS), con el fin de enviar al usuario a una página que suplanta a dichas empresas para buscar que el cliente realice una falso pago con su tarjeta bancaria.

A este tipo de ataques de phishing se le conoce como ‘smishing’,  ya que se ejecuta a través de mensajes de texto (SMS, Whatsapp, Signal, etc). 

¿Qué es el phishing?

De acuerdo a IBM, los ataques de phishing son correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos diseñados  para manipular personas para que:

1. Descarguen malware,
2. Compartan información confidencial (p. ej., números de la seguridad social y tarjetas de crédito, números de cuentas bancarias, credenciales inicio de sesión),
3. o realicen otras acciones que los exponga a ellos mismos o a sus organizaciones al ciberdelito.

Cuando se reciben mensajes fraudulentos que invitan al usuario a visitar un sitio web, las personas deben ser cautelosas, ya que los principales fines de los delincuentes son:

1. Estafa tradicional (Ej. Que pague por un producto y no se lo entregan.)
2. Engañarle para que descargue algún documento o programa malicioso. Inclusive podría recibir un ataque sin que realice ninguna acción adicional (Explotación de una vulnerabilidad del navegador)
3. Engañarle con el fin de obtener información de interés para el grupo delictivo.
4. Engañarle para que ingrese los datos necesarios para la comisión de una estafa informática.

La Suplantación de empresas de servicios postales.

Resecurity identificó en agosto una campaña de ‘smishing’ a gran escala dirigida a ciudadanos de los Estados Unidos e informa que incidentes anteriores han afectado a víctimas del Reino Unido, Polonia, Suecia, Italia, Indonesia, Japón y otros países. Reporta que el mismo grupo delictivo de origen chino, también está hábilmente  suplantando al Royal Mail, al Servicio Postal de Nueva Zelanda (NZPOST), a Correos (España), a PostNord, a Poste Italiane y al Servicio de Ingresos Italiano (Agenzia delle Entrate).

A este grupo criminal se le conoce como «Smishing Triad” y el detalle clave de la campaña es que los ciberdelincuentes usan exclusivamente iMessages enviados desde cuentas comprometidas de Apple iCloud como su principal método de entrega de fraude en lugar de SMS o llamadas tradicionales.

Resecurity reporta que este grupo criminal está proporcionando infraestructura de Cibercrimen-como-Servicio (CaaS, por sus siglas en inglés) y así está activamente equipando a otros ciberdelincuentes con kits personalizados de ‘phishing’ y ‘smishing’, con suscripciones al kit de smishing («shuju») que comienzan en $200 por mes.

En España, el Instituto Nacional de Ciberseguridad (INCIBE), reportó el 10 de noviembre  que se ha detectado una campaña de suplantación de identidad, en la que la víctima recibe un correo electrónico o un mensaje de texto (SMS) donde se le indica que hay un paquete de correos que no le pueden entregar, debido a que debe realizar un pago por el importe de los costes de aduana.

De la misma manera, en el caso costarricense, los delincuentes están suplantando a Correos de Costa Rica, principalmente por mensajes de texto y iMessage con el fin de obtener los datos de la tarjeta bancaria de los usuarios y requiriendo  el token de seguridad que usan las entidades financieras para verificar que el cliente es quien está realizando la transacción.

¿Cómo funciona este fraude ‘smishing’ que suplanta la identidad de Correos de Costa Rica?

Este fraude, en apariencia, está siendo ejecutado por ciberdelincuentes internacionales y  están usando una base de datos de teléfonos móviles costarricenses, lo que hace pensar que quien haya recibido este mensaje, es altamente probable que vuelva a recibir smishing o estafas por este medio.

En Costa Rica, miles de usuarios han reportado la recepción des mensaje de texto y iMessage con el siguiente contenido:

SMS

(Octubre, 2023)

[CORREOS] Su paquete no puede ser entregado porque falta la información de dirección necesaria. Por favor, actualice en una conexión

https://url.fraude/_CRI_post

[Correos de Costa Rica Un servicio sincero]

(Julio, 2023)

iMessage:

Correos: No pudimos entregar su pedido

RP111293400MU

correctamente porque la direccion que proporciono no coincide con el codigo postal.

Necesitamos que nos proporcione la direccion correcta. Gracias por su comprension y cooperacion.

https://url.fraude/Go

Responda «1» para copiar el enlace para ver la información de su paquete, que tenga un buen día.

Una vez el usuario ingresa al sitio web fraudulento:

1. Le pide información relacionada con la dirección donde supuestamente le entregará el paquete.
2. Le pide que realice un pago sumamente bajo (ej. 163 colones).
3. Una vez el usuario ingresa los datos de la tarjeta bancaria, la plataforma le pide que ingrese el token que su banco le ha enviado (SMS, aplicación móvil, etc).
4. La persona recibe el mensaje con el código de seguridad de su banco, que podría no indicar el monto de la transacción que está verificando.
5. Los delincuentes realizan compran una o más compras en un comercio electrónico, por un monto alto, el cual es distinto al que el cliente aprobó.

Lo más grave para el usuario financiero es que si es víctima de este tipo de fraude, cuando recibe el token de su banco, este puede no especificarle  sobre cuál transacción está usándolo, por lo que aunque el usuario crea que es para aprobar un monto muy bajo, los delincuentes pueden usar el mismo para hacer una transacción con montos bastante altos.

Riesgo de fraudes con el Marchamo

Recientemente, el INS reportó que para mejorar las seguridad en los pagos del Marchamo en su sitio web, “el banco emisor estará notificando directamente al dueño de la tarjeta sobre este movimiento, el banco le enviará al cliente un código de seguridad que será utilizado como un pin, en el sitio web del INS, si no se introduce ese código, no será procesada con éxito la transacción”.

Los usuarios deben tomar en cuenta que los ciberdelincuentes pueden lanzar páginas fraudulentas que suplanten al INS,  de manera similar como lo están haciendo con Correos de Costa Rica, con lo que podrían apoderarse de la información de las tarjetas bancarias del usuario y su respectivo código de seguridad.

Una vez obtenida la información, los ciberdelincuentes nacionales e internacionales, podrían realizar compras en comercios electrónicos en todo el mundo y con el desafío legal la víctima de repudiar una transacción que ha sido confirmada por el usuario a través del código de seguridad.  Eso sí, desde mi perspectiva existe responsabilidad objetiva de la entidad financiera si no ha incluido el detalle de la transacción cuando envía el código de seguridad.

Recomendaciones generales para el usuario.

1. Desconfíe de los  enlaces que le lleguen por mensaje de texto o correo electrónico, principalmente si contienen un mensaje de urgencia.
2. En toda transacción de comercio electrónico revise de forma cuidadosa la dirección (URL) en la que está ingresando la información e investíguela.
3. En compras en línea, use tarjetas virtuales que le permiten tener una tarjeta con fondos especialmente para este fin, lo que reduce el riesgo.
4. No use tarjetas bancarias (crédito o débito) que no cuenten con seguros contra fraudes. Asegúrese de cuáles son los términos de servicio del seguro, para que tenga claridad sobre qué le cubre.

Recomendaciones generales para las entidades financieras.

1. Informen a sus usuarios de la existencia de este tipo de campañas.
2. Incluyan en las aplicaciones y/o tokens de seguridad para verificar las transacciones de tarjetas bancarias, la información de la transacción, para evitar que las personas sean afectadas por este tipo de fraudes.