Tecnología

Blog

“Hay un paquete para usted. Por favor, escanee el código QR”

Cómo extraen los ciberdelincuentes los datos de las tarjetas de crédito haciéndose pasar por el servicio DHL. Las compras en línea se han vuelto parte de nuestra vida cotidiana: compramos ropa, comida y otros productos y los recibimos en la puerta de casa simplemente con algunos clics. Los aficionados a estas compras online, que van […]


  • Compartir:

Cómo extraen los ciberdelincuentes los datos de las tarjetas de crédito haciéndose pasar por el servicio DHL.

Las compras en línea se han vuelto parte de nuestra vida cotidiana: compramos ropa, comida y otros productos y los recibimos en la puerta de casa simplemente con algunos clics. Los aficionados a estas compras online, que van en aumento, pueden olvidarse de un paquete o perder una llamada del servicio de mensajería. Como se podría esperar, los atacantes se aprovechan también de esto y usan notificaciones falsas sobre la entrega de paquetes como anzuelo.

Un caso específico que nos ayuda a ejemplificar esto son los ciberdelincuentes que se hacen pasar por el servicio internacional de mensajería urgente DHL. No obstante, en lugar de utilizar un enlace de phishing, en este caso, utilizan un código QR que se encuentra en el correo electrónico recibido. En este post desarrollaremos el cómo y el porqué de este cambio.

“Su paquete está en la oficina de correos”

El ataque comienza con un correo electrónico, supuestamente de DHL. Aunque la dirección del remitente es un conjunto de palabras al azar que no se parecen en nada al nombre de dicho servicio, el cuerpo del mensaje es muy convincente: el logotipo de la empresa, un número de pedido (aunque falso) y una supuesta fecha de recepción de un paquete.

El propio mensaje (que en este caso está en español) indica que un pedido ha llegado a una oficina de correos local, pero que el mensajero no pudo entregarlo personalmente. Generalmente, este anzuelo se acompaña con un enlace para “resolver el problema”, pero en esta ocasión hay un código QR en su lugar.

E-mail con un código QR supuestamente de DHL. Por seguridad, en la captura de pantalla hemos reemplazado el código QR malicioso por uno inofensivo

E-mail con un código QR supuestamente de DHL. Por seguridad, en la captura de pantalla hemos reemplazado el código QR malicioso por uno inofensivo

Un código QR es algo muy versátil. Por ejemplo, puede utilizarse para conectarse a una red wifi, pagar o confirmar una compra de una entrada de cine o de un concierto. Pero probablemente su uso más común sea para distribuir enlaces offline como una forma rápida de llevar al usuario a una dirección web en concreto, escaneando un cuadrado en blanco y negro que puede aparecer en el envase de un producto, en carteles publicitarios, en tarjetas de presentación o en cualquier otro sitio.

Desde luego que en este caso, los atacantes no piensan en la comodidad del usuario. La idea parece ser que, si la víctima en primera instancia abre el correo electrónico en una computadora, después necesitará un smartphone para leer el código QR, lo que se traduce en que la web maliciosa se abrirá en una pantalla más pequeña donde el phishing será más difícil de detectar. Debido a las limitaciones de espacio en los navegadores móviles, las URL no son visibles en su totalidad. Y recientemente en Safari, la barra de direcciones fue movida a la parte inferior de la pantalla, donde muchos usuarios no suelen mirar. Esto juega totalmente en favor de los ciberdelincuentes, porque la URL de su web falsa no se parece en nada a la oficial en la que ni siquiera aparece la palabra DHL.

El texto de la página web también se ve en pequeño, por lo que es más difícil aprecias los errores de diseño. De todas maneras, no hay muchos de ellos: la página da la bienvenida a los usuarios en amarillo y rojo, los colores de la marca registrada, en seguida aparece el nombre de la empresa y el texto prácticamente no tiene errores, excepto por un par de letras minúsculas al comienzo de las oraciones.

Se informa a la víctima que el paquete llegará en 1 o 2 días. Para recibirlo, se le pide que ingrese su nombre, apellido y dirección con código postal. Y como el servicio de entrega solicita este tipo de información, esto no genera sospechas.

La web falsa de DHL solicita información personal, además de los datos de la tarjeta bancaria

La web falsa de DHL solicita información personal, además de los datos de la tarjeta bancaria

Pero la recopilación de datos no termina ahí. En la página siguiente, se le pide a la víctima que comparta información más confidencial: los datos de su tarjeta bancaria con código CVV que aparece en el reverso, supuestamente para pagar la entrega. Los atacantes no especifican laa cantidad, solo mencionan que el coste depende de la región y aseguran que el importe será cobrado hasta que llegue el paquete. De hecho, la empresa DHL auténtica sí exige el pago por adelantado de la entrega cuando se realiza el pedido y, si un cliente no se encuentra en el lugar de destino del paquete, el servicio de mensajería realiza otro intento de entrega totalmente gratis.

¿Qué hacen los delincuentes con tus datos de pago?

Es poco probable que los delincuentes comiencen a realizar cargos en la tarjeta de la víctima de forma inmediata, ya que podría levantar sospechas hacia el correo electrónico del “DHL” falso. Lo más seguro es que esos datos sean vendidos en la dark web y quien los compre será quien luego desvíe los fondos, cuando la víctima ya se haya olvidado del paquete inexistente.

Cómo protegerse

En este caso se aplican las mismas reglas para protegerse contra un ciberfraude:

  • Si recibes un supuesto correo electrónico proveniente de un servicio que conoces, verifica siempre la dirección de correo electrónico del remitente. ¿El nombre real de la empresa no aparece después de la @? Entonces, seguramente se trata de una estafa.
  • Si esperas un paquete, asegúrate de anotar el código de seguimiento y verifica su estado en la web oficial abriéndolo desde tus Favoritos o introduciendo la URL manualmente en un buscador.
  • Para estar seguro, al escanear códigos QR, usa nuestro Kaspersky QR Scanner (disponible tanto para Android como para iOS. Esta aplicación te dirá si el código QR lleva a una web peligrosa.
  • Instala en todos tus dispositivos un antivirus de confianza con protección antiphishing y antifraude, que te advertirá a tiempo de cualquier peligro.

Artículo redactado por los especialistas de Kasperki que nos ayudan a mantener la seguridad informática de la Unión Argentina.