Nueva estafa por medio de SMS de Correos solicitando tasas aduaneras. Un post muy rápido de servicio público puesto que no he encontrado mucha información sobre el tema. Un SMS que suplanta a Correos, solicitan el pago de tasas aduaneras ridículas para robar nuestros datos de pago y tarjetas.
Si recibís un SMS parecido a este:
Es una estafa.
El remitente de este mensaje de texto es aparentemente Correos. Encontramos este texto:
Apreciado cliente:
Su paquete no pudo entregarse el 1/11 porque no se pagaron las tasas aduaneras (1€).
Encontrara mas datos aquí: http://3cm.top/LexJ
La falta de acentos y la dirección sin conexión segura (https) ya nos deberían hacer sospechar. El bajo importe de la tasa aduanera y que es exactamente 1 euro, también.
Evidentemente pueden surgirnos dudas, sobre todo si realmente esperas un pedido de China.
En mi caso así era, por lo que decidí investigar un poco más. Por supuesto, no pinché en el enlace del mensaje y espero que tampoco lo hagais vosotros.
Busqué información de la propiedad del dominio 3cm.top y como veis todo muy sospechoso.
Existe una tienda en Aliexpress que se llama 3cm Top. Al aparecer junto al dominio de https://es.aliexpress.com/ nos puede parecer que realmente tiene que ver con alguna compra que estemos esperando. Ya te adelanto que no, que es un fraude.
Actualicé el antivirus en el Mac y activé un plugin de Firefox para tener una protección extra en el navegador de escritorio. Tecleé la dirección http://3cm.top/LexJ directamente en el buscador y me redirigió a google.es. Con esto lo que pretenden los ciberdelincuentes es que trates de clicar en el enlace desde el móvil y no desde el ordenador. Las media queries de CSS detectan la versión de navegador de escritorio y el enlace real no funciona.
Hay un hilo en forocoches en que han reportado también estas otras urls: http://trackpost.org/eNA o https://paqueteria.parceldelivery.top/post/delivery/es/paqueteria/index_esc.php
Utilizando las herramientas de desarrolladores es fácil engañar a la programación simplemente eligiendo la vista de diseño adaptable.
Lo activé volví a teclear la dirección y esta vez me redirigió a https://express.courierexpress.top/post/delivery/es/paqueteria/verify.html y me apareció esta página:
Como veis da el pego.
Cada vez que pulsas el botón de continuar y aceptas el captcha, accedes a https://trk.traffikflow.com/ que redirige a una dirección diferente cada vez como https://es.premiumgiftshome.com/ o https://es.giftspro4u.com/. Luego aparece esta página:
Más faltas de ortografía (a los malos no les fue bien en el cole) y un formulario para que regales los datos de tu tarjeta de crédito alegremente.
Por supuesto nada de información sobre el dueño ni certificado de seguridad ni nada.
Y los dominios raíz no se muestran.
Actualizado con información aportada de los comentarios: Si completáis los datos personales y pulsáis el botón continuar os llegará un segundo SMS. Con este texto:
Hola ——-,
confirme sus credenciales para la entrega de hoy, de lo contrario, su paquete sera devuelto al remitente: http://4en.us/Y9q66
Por supuesto el enlace donde os piden entrar ya está reportado como peligroso:
Al enviar vuestros datos personales, estos ya estarán en poder de los estafadores. Prueba de ello es el segundo SMS. Solo por eso podéis ser víctimas de nuevos fraudes, pero todavía estáis a tiempo de no introducir los datos bancarios.
Si pincháis en el enlace veréis una página en la que se os tentará con un iPhone que está a punto de llegaros.
En fin, un timo. No pinchéis siquiera en los enlaces. Borrad el sms de esta nueva estafa por medio de SMS de Correos solicitando tasas aduaneras.
Si habéis pinchado y/o rellenado datos personales borrad el historial de navegación y las cookies y estad alerta de sms, emails o llamadas sospechosas.
Si además habéis introducido los datos bancarios, llamad al banco lo antes posible, contádselo y cancelar las tarjetas.
Probablemente consigan nuestros números de teléfono de Aliexpress o algún servicio de tracking, correos u otro transportista que tengan algún fallo de seguridad en sus sistemas.
No descarto tampoco que los envíen al azar, sobre todo por el método de confirmación mediante el segundo sms que envían.
Espero que os haya servido y no piquéis.
Actualización 27 de agosto de 2020
También me ha llegado por correo electrónico. En este caso es más fácil de identificar por estos motivos:
- El remitente claramente no pertenece al dominio de correos.es. La dirección de email que nos lo envía es support@fleetvumanager.com
- El identificador no aparece completo y por lo tanto no se puede comprobar en la web de Correos.
- Piden una cantidad de “1.17 euros”, utilizando el punto en lugar de la coma y sin el símbolo de €.
- En letra pequeña ofrecen un código promocional con un descuento en dólares.
- Fallos de redacción como por ejemplo “paquet” en lugar de “paquete” o “no 7” en lugar de “nº 7”.
- Incoherencias como proponer una promoción válida hasta el 31 de agosto de 2019. Parece ser que a estos estafadores el 2020 no lo tienen en consideración. No me estraña
Actualización 29 de octubre de 2020
Siguen enviando este tipo de mensajes, aunque mayoritariamente por email. Consisten en variantes más o menos similares a las descritas en el post.
La última variante que he recibido con la fecha de la actualización es otra vuelta de tuerca a esta estafa.
En este caso la «proeza» es conseguir enviar un email en el que el remitente parece realmente Correos (la dirección es protecciondatos.correos@correos.es).
Consiste en un aviso de que el paquete no se ha podido entregar como una consecuencia lógica del primer correo.
El asunto es: re ; Su paquete no se pudo entregar el 29.10.2020 porque no se pagó la tarifa (1,60 €).
Nada más lejos de la realidad, mismos enlaces y mismo gancho. Incluso siguen sin evitar las faltas de ortografía y esa redacción tan de Google Translator.
Lo que si ocurre en este nuevo intento de fraude es que viene un poco más armado; fecha de entrega fallida, próximas entregas previstas un código de referencia de pago e incluso un enlace a preguntas frecuentes que por supuesto no funciona.
Aunque el verdadero gancho consiste en que avisan de que Correos tiene derecho a una deducción de “1,09 euro” por cada día de detención. Y claro ¿Quién quiere pagar por el retraso en recoger un paquete? 😉
Está claro es que hay gente picando, en caso contrario no nos llegarían estos correos. El filtro antispam de mi servidor es muy potente y pocos correos de este tipo llegan a mi bandeja de entrada. Esto que evidencia un esfuerzo por parte de los malos en lanzar el anzuelo. Y ya sabéis, si el rio suena, agua lleva.
De nuevo recordaros que lo mejor que podéis hacer es borrar el correo y no pinchar en ningún enlace ni siquiera por probar.
Hola.
Yo también he sido «agraciado» con este mensaje. No piqué porque los envíos que espero no proceden del extranjero. Pero de tu explicación me queda una duda: yo si cliqué en el link que envían. Obviamente no cumplimenté el cuestionario ni realicé ningún pago porque ya vi que redireccionaba a una página que nada tiene que ver con correos, ni es segura, etc. Consideras que el hecho de acceder simplemente con mi smartphone podría poner en peligro mis sistemas de pago y tarjetas almacenadas en el mismo?
Gracias por tu ayuda y un saludo.
Hola Xosé Luís,
Podría ser, aunque no lo creo.
Google ha bloqueado el enlace principal clasificándolo como sitio fraudulento (phishing). Si hubiera contenido algún tipo de malware lo hubiera clasificado de otra manera, lo cual es positivo.
La oficina de Seguridad del Internauta (OSI) también ha dicho que no era más que eso. No he encontrado reporte de otra cosa que no sea el propio phishing en el que el usuario envía sus datos voluntariamente.
En cualquier caso, es difícil saberlo porque cada vez redirigía a una url diferente y seguramente donde te llevó a ti no es el mismo sitio donde me llevó a mí. Aparte yo accedí con un Mac emulando a un navegador móvil y bastante protegido. Un Smartphone tiene un sistema operativo y apps diferentes.
Tampoco tienen sentido que te pidan los datos voluntariamente, si es que realmente te los están robando sin que te des cuenta.
Para mí lo más sospechoso fue que la web de entrada estaba programada para ser vista solo desde un dispositivo móvil, por lo que se podía haber aprovechado para explotar algún fallo de seguridad en alguna app de navegación o del propio S.O., aunque esto también es dificil si el S.O es reciente y está actualizado.
Este tipo fraudes pretenden recoger datos rápidamente y de la manera más sencilla, en este caso, engañando al usuario con un formulario que parece de Correos, pero no lo es. Un malware puede ser detectado y reportado generando un bloqueo rápido de la web por lo que no suele interesar.
Te recomiendo tener el S.O y las apps de tu smartphone actualizados. Los desarrolladores parchean los fallos de seguridad de los mismos que se van descubriendo.
También deberías instalar una app antivirus (aquí tienes algunas gratuitas para diferentes S.Os, no se cual es el tuyo), y pasarle un chequeo de vez en cuando para estar más tranquilo.
Gracias a ti por comentar!
Hola! Yo he picado… Que puedo hacer?
Si has enviado los datos de tu tarjeta, llamar al banco y cancelarla lo antes posible.
Hola, yo puse los datos personales (nombre, dirección, tlfno), pero no los datos bancarios, que puedo hacer?
Hola. Si no pusiste los datos bancarios ¿Funcionó el botón de continuar? Si eran campos requeridos, te saldría un aviso en algún lugar de la pantalla y por lo tanto los datos no se enviaron.
Haz por precaución una limpieza del navegador (cookies, historial, etc.) y listo.
Si te dejó enviar el formulario a medias, los estafadores tienen tus datos por lo que deberías estar alerta si alguien te llama con intenciones sospechosas y aporta esos datos para dar veracidad a la llamada.
Pues es que el primer formulario era el de los datos personales, al continuar te salia el formulario de los datos bancarios. Al pulsar continuar inmediatamente llego un sms con el siguiente contenido:
«Hola ——-, confirme sus credenciales para la entrega de hoy, de lo contrario, su paquete sera devuelto al remitente: htpt://4en.us/Y9q66»
El enlace del sms ya se veia fraudulento y hablaba de un iphone que estaba apunto de llegarte, ya ahi me di cuenta y no puse los datos bancarios en el segundo fórmulario.
Pues efectivamente no hay duda de que robaron esos datos que pusiste. La prueba está en el segundo sms de confirmación que no hubiera llegado sin tener ellos el teléfono confirmado.
La url que indicas está reportada como puedes ver.
Afortunadamente no distes tus datos bancarios y el daño es más limitado. Gracias por comentar, actualizaré el artículo con lo que me has contado por si le es útil a alguien más.
Me reafirmo en lo que dije anteriormente. Deberías estar alerta de sms o llamadas porque con tu nombre dirección y teléfono pueden intentar una nueva estafa que parezca más creíble.
Un detalle que se repite mucho en este tipo de fraudes son las faltas de ortografía y los textos escritos por el traductor de Google.
Mucho ojo también a las llamadas de supuestos servicios técnicos que necesitan acceder a tu ordenador.
Hola,
He metido el númeo de tarjeta. Ya la he cancelado. De esta forma ya no me podrán volver a cobrar no?
Gracias.
Hola. Si la tarjeta no existe, no pueden cargarte nada.
En cualquier caso, yo estaría muy pendiente de que cargos llegan a la cuenta asociada e intentar que el banco los anule. Puede haber cargos en diferido de antes de que se cancelara la tarjeta.
Mensualmente me cobran 49,90, yo no di datos bancarios pero de todas formas anule la tarjeta y me siguen cobrando ese importe, cuando anule la tarjeta tuve que ir ha poner denuncia a los Mossus y la Caixa me devolvío el importe pero este mes vuelve aparecer el cargo, ese nombre pertenece ha una empresa de transportes ho algo parecido, puedo sacar ese «cobrador» mensual de mi cuenta????? Gracias
Si lo que diste fueron los datos de la tarjea y la tarjeta ya no existe, no te pueden cobrar.
O bien el cargo se está haciendo en la cuenta asociada en lugar de la tarjeta, con lo cual corresponde a otra cosa o bien la tarjeta sigue existiendo y tienes que anularla de verdad.
Con que cambie la fecha de caducidad o El CVV la tarjeta ya no es válida.
Es posible que el banco solo suspendiera la tarjeta temporalmente y que luego se reactivara. Mi consejo es que lo consultes con ellos.