La Policía Nacional alerta de la propagación de un software malicioso que se instala en los dispositivos móviles y que afecta al sistema de mensajería SMS con el propósito de estafar

La Policía Nacional alerta de la propagación de un software malicioso que se instala en los dispositivos móviles y que afecta al sistema de mensajería SMS con el propósito de estafar

11/03/2021

La víctima potencial recibe un SMS malicioso proveniente, supuestamente, de una empresa de paquetería en el que informan al receptor de que han recibido un envío y tienen que clicar un enlace para aportar los datos solicitados y confirmar el envío.

La intención de los estafadores es que la víctima haga clic en el enlace que se adjunta en el falso mensaje SMS. Una vez clicado, se activa un software malicioso que automáticamente descarga una aplicación fraudulenta en el terminal móvil que toma el control del sistema SMS.


Agentes adscritos al  Grupo de Delitos Tecnológicos de la Policía Judicial de la Jefatura Superior de Policía de la Rioja, alertan de la recepción de denuncias formuladas en esta Jefatura Superior, en la que se relatan diferentes estafas provenientes de la recepción inicial de SMS fraudulentos. La estafa se inicia a través de la recepción de un mensaje inesperado a los teléfonos móviles de los ciudadanos sobre un paquete pendiente de recogida, que contiene un enlace cuya consulta desencadena la descarga de una aplicación maliciosa destinada a acceder a los datos del terminal.

Por SMS, correo electrónico o mediante mensajería instantánea, las estafas online son el hecho delictivo más frecuente y van en aumento. Muchos delincuentes utilizan la reputación que generan los logotipos y la imagen de marca para idear mecanismos de engaño con los que ganarse la confianza de la víctima y conseguir sus credenciales bancarias e información de carácter personal.

Modalidades

Una de estas estafas consiste en recibir  un SMS en el que avisan de la recepción de un paquete suplantando a una empresa logística e invitan al receptor a instalarse una app para saber dónde, supuestamente, está el paquete. (Correos, FedEX, DHL, etc).

Una vez que este troyano infecta los terminales, se establece como aplicación por defecto para SMS para así poder controlarlo, acceder a la agenda de contactos y provocar el reenvío automático de mensajes de tipo SMS.

Las personas que son infectados con este tipo de malware, envían sin que se percate el titular del teléfono, un SMS a todos los contactos de su agenda un mensaje simulando una empresa de paquetería con un enlace. Los receptores reciben el mensaje a su nombre (con el que figura en los contactos del infectado) y si proceden a introducir los datos requeridos a través del enlace, quedan también infectados, existiendo la posibilidad de que, dependiendo del mensaje, los datos que ha introducido sean bancarios y sufran, a posteriori, algún cargo en tarjeta o accesos a su banca online.

Otra modalidad, muy similar a la anterior, es la de envío de un SMS falseados enviados a los teléfonos móviles de los ciudadanos sobre un paquete pendiente de recogida, que contiene un enlace cuya consulta desencadena la descarga de una aplicación maliciosa destinada a acceder a los datos del terminal.

En este caso, el mensaje advierte que el receptor tiene unas horas para confirmar el envío a través de un mensaje de móvil, ya que de lo contrario, se devolverá al remitente. Tras ello, se recibe un supuesto código que habrá que enviar a una supuesta dirección de correo electrónico. Finalmente, resulta ser una suscripción ilícita a servicios Premium de pago en diversas webs que se traducen en cargos fraudulentos en las tarjetas bancarias o recargos en las facturas de telefonía por recepción de mensajes SMS premium.

A continuación, se reproduce el texto de alguno de esos mensajes.

“Buenos días, estimado cliente:

Su pedido se entregó el xxx en el punto de recogida. Consulte donde puede recoger sus paquetes: Enlace.”

“Estimado cliente:

Su paquete no ha sido entregado: Dirección incompleta. Último intento de entrega gratis: (una fecha aleatoria cercana en el tiempo). Para recibirlo mañana le pedimos que rellene la dirección de entrega correcta y pague los gastos de envío (1,59 €)”.

En otros casos, como el del actual software malicioso “FLUBOT”, la aplicación descargada contiene un troyano bancario que permite a los atacantes hacerse con el control del dispositivo y visionar los datos de cuentas bancarias, tarjetas y aplicaciones de pago por teléfono.

Otros ataques de Phishing o estafas mediante enlace.

Es un fraude bastante habitual en el que ciberdelincuentes, bajo cualquier pretexto, envían mensajes tipo SMS, mensajería instantánea o email donde solicitan aportar datos personales y bancarios. A posteriori, una vez disponen de esta información, realizan cargos o transferencia bancarias fraudulentas a beneficio de la organización.

La mayoría de métodos consistentes en esta práctica tratan de engañar al usuario suplantando la identidad de una página o servicio conocido: webs de compraventa, alquiler de inmuebles, bancos, empresas de paquetería, webs de segunda mano. Al acceder al enlace que te envían, conduce a una web muy similar a la empresa simulada, solicitándonos cumplimentar un formulario con nuestros datos personales o de nuestra cuenta bancaria o tarjeta de crédito. Una vez que estos datos llegan al servidor, estos son recogidos por los ciberdelincuentes para obtener rendimiento económico: Realizar compras on line, extraer dinero de la cuenta, etc.

Estos ataques no son muy diferentes de los correos de spam recibidos a diario, pero el mensaje dirigido al teléfono o WhatsApp, ha demostrado ser más efectivo al ser más personal.

A pesar de las advertencias y las campañas de prevención, este tipo de fraude es muy popular debido al éxito que tienen. La mayoría de los internautas están acostumbrados al spam y a no prestar atención a los correos que ofrecen oportunidades o chollos, pero nuestro teléfono es más personal, y recibir un SMS e indica que, como mínimo, el remitente tiene nuestro número. Eso puede despertar una falsa confianza en el atacante, cuando en realidad conseguir un número de teléfono es cada vez más fácil gracias a servicios de compra-venta efectuada.

Consejos para evitar ser víctima de phishing

Además de preguntar a las empresas por esos SMS, hay varios pasos que puedes seguir para saber si ese mensaje tan tentador que has recibido es phishing. Una de las cosas en las que puedes fijarte es en cómo está escrito, ya que si incluye faltas de ortografía o frases sin sentido es muy probable que no sea un mensaje real.

También puedes seguir estas recomendaciones para que no te la cuelen con este caso de timos:

  1. Fíjate bien en el teléfono que te los envía. Consulta ese mismo número de teléfono en Internet antes y comprueba que es legítimo. Si no lo es, es posible que veas advertencias en la Red sobre posibles fraudes o de otros usuarios estafados.
  2. Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la  dirección web de esta página web no es de la empresa legítima, ojo porque puede ser similar pero nunca el mismo: incluirá guiones, números, alguna letra más, palabras como “online”, “compra” que lo hagan parecerse al original. Vete a la web original y compara las direcciones de dominio.
  3. Si una institución, supuestamente, se está poniendo en contacto contigo por teléfono, solicítales que te manden un correo personal con esa misma información, diles que les atenderás más tarde y consulta el teléfono en Internet. En todo caso, ninguna empresa o institución debe pedirte datos personales o bancarios por teléfono si tú no has sido quien haya solicitado el servicio a la empresa verdadera.
  4. Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Tómate tu tiempo para hacer las comprobaciones personales oportunas, los servicios que te requieran algo, siempre te darán un tiempo para ello. Si algo es urgente, sospecha.