Campaña de correos maliciosos suplantando al Ministerio de Trabajo

Recursos afectados: 

Cualquier empresario o autónomo que reciba un correo electrónico suplantando al Organismo Estatal de Inspección de Trabajo y Seguridad Social (ITSS). En dicho correo se comunica a las empresas una falsa investigación de la Inspección de Trabajo y Seguridad Social.

Descripción: 

Se ha detectado una campaña de correos fraudulentos suplantando al ITSS. En dichos mensajes se informa al destinatario sobre una investigación que se está realizando a su empresa por la incapacidad de la misma para respetar la legislación vigente. Una vez más este tipo de correos se aprovechan del estado de alarma para hacer caer en la trampa al destinatario.

El mensaje que suplanta al ITSS es similar al que se muestra a continuación:

 Correo de suplantación al ITSS

Solución: 

Si has accedido al enlace, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo si hubiera detectado algún tipo de malware..

Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

  • No abrir enlaces en mensajes SMS de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el mensaje proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión.
  • No contestar en ningún caso a estos SMS.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y las aplicaciones.

Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados gracias al INCIBE.

Detalle: 

Los mensajes de texto identificados utilizan como gancho la situación legal extraordinaria debida al COVID-19, suplantando al Organismo Estatal de Inspección de Trabajo y Seguridad Social (ITSS). El objetivo del mensaje es que el usuario acceda a un enlace malicioso donde podrá ver la falsa queja presentada y acceder a más detalles. El acceso a este enlace puede llevar asociado la descarga de malware en el equipo.

Nueva oleada de correos con virus

Estamos recibiendo una gran cantidad de correos maliciosos con la intención de infectar con virus nuestros equipos mediante archivos adjuntos en dichos correos o robarnos nuestros datos mediante enlaces a paginas externas.

Mucho cuidado de NO abrir adjuntos en dichos correos de dudosa procedencia ni abrir enlaces de estos correos.

Ejemplo de correos maliciosos:

Nueva campaña de PHISHING que suplanta la identidad de PayPal

Se ha detectado una nueva campaña de correos electrónicos que intentan suplantar a la empresa intermediaria de pagos PayPal.

El correo avisa al usuario de que su cuenta ha sido bloqueada y solicita actualizar información. En el cuerpo del mensaje se facilita un enlace para poder acceder a una página falsa de acceso a su cuenta de PayPal, a través de la cual se solicitan las credenciales de usuario y los datos personales y bancarios vinculados a la cuenta.

Si has recibido un correo de estas características, has accedido al enlace y facilitado tus credenciales, tus datos personales y bancarios, contacta lo antes posible con PayPal y tu entidad bancaria para informarles de lo sucedido. Además, debes cambiar inmediatamente tu contraseña de acceso al servicio. Evita ser víctima de fraudes tipo phishing siguiendo nuestras recomendaciones:

  1. No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  2. No contestes en ningún caso a estos correos, ni envíes información personal.
  3. Ten precaución al pinchar en enlaces y descargar ficheros adjuntos en correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque sean de contactos conocidos.
  4. Ten siempre actualizado el sistema operativo y el antivirus.
  5. En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza como pueden ser las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) o la Oficina de Seguridad del Internauta (OSI).

Por otro lado, ten siempre en cuenta los consejos que facilita, en este caso PayPal, en la sección de seguridad de su web.

MUY IMPORTANTE: Si recibes un correo con estas características, no facilites ningún dato, no hagas clic en los enlaces, ni descargues adjuntos. En el caso de que te surjan dudas, contacta directamente con Paypal en spoof@paypal.es para asegurarse de la veracidad de la información.

El correo electrónico fraudulento se envía desde una cuenta de correo electrónico que no pertenece a los dominios de PayPal (“@paypal.es” o “@e.paypal.es”). Hasta el momento se han detectado correos fraudulentos provenientes de “PayPal ”, con el asunto “Tu cuenta ha sido bloqueada” o similares.@e-coin.io>

El contenido del correo corresponde a un aviso informado de que tu cuenta de PayPal ha sido bloqueada por falta de información, utilizando su logo y una estructura parecida a un correo de PayPal.

En el cuerpo del mensaje se facilita un enlace para poder enviar la supuesta petición de actualización de datos.

Llama la atención que dicho correo contiene 4 enlaces más (Centro de ayuda | Centro de resolución | Centro de Seguridad | Ayuda y contacto) que también redirigen a la página fraudulenta.

Si pinchas en uno de estos enlaces, este redirige a la web falsa, que simula ser el servicio original en cuanto a estética y estructura del portal web, donde te solicitarán tus credenciales.

Si introduces tus credenciales y haces clic en «Iniciar sesión», se cargará otro formulario en el cual te pedirán todos los datos de tu tarjeta de crédito.

Tras introducir los datos de la tarjeta y pulsar en el botón «Acuerdo & Continuar», te solicitará que verifiques tu tarjeta bancaria con tu fecha de nacimiento, una contraseña y un número de teléfono.

*Fuente Información: INCIBE – OSI Oficina de Seguridad del Internauta

Suplantación de Identidad de la DGT por supuesta infracción.

Si recibes una multa a través de un correo electrónico cuyo remitente parece ser la Dirección General de Tráfico (DGT), es el momento de que actives todas las alarmas. Este es el anzuelo que utilizan los delincuentes para consumar la última modalidad de estafa que se ha descubierto en nuestro país. El falso mensaje, para resultar creíble, contiene todo tipo de detalles sobre la supuesta infracción: el lugar donde fue cometida, la razón y el importe; e incluso cita la ley que supuestamente ha infringido el conductor.

Pero el elemento verdaderamente peligroso de la notificación es la fotografía, la prueba que demuestra que la infracción fue cometida por tu vehículo. Para acceder a ella tendrías que hacer click sobre un enlace o descargar un archivo. Con este último simple gesto, los timadores habrán logrado su objetivo, acceder a todas tus contraseñas y datos bancarios a través de un programa que logran instalar en tu ordenador.

La Guardia Civil ha comunicado que hay cientos de conductores que ya han recibido esta falsa multa a través del correo electrónico y que se trata de una modalidad de estafa conocida como phishing. Para evitar ser una víctima más, la Benemérita ha pedido a los ciudadanos que eliminen el mensaje y lo denuncien ante las autoridades.

Además, la Guardia Civil recuerda que nunca notifica las multas por correo electrónico sino por correo certificado. En cualquier caso, puedes consultar si has cometido alguna infracción entrando en la sede electrónica de la DGT.

*Fuente Información: La Verdad

Suplantación de Identidad de la CIA por supuesta posesión de contenido pedófilo

Se ha detectado un nuevo envío masivo de correos suplantando la identidad de la CIA cuyo objetivo es engañar y extorsionar a la persona que lo recibe, acusándole de un supuesto almacenamiento y posesión de pornografía infantil. Los estafadores demandan una cantidad de dinero en bitcoins y si no se realiza el pago, amenazan al usuario con ser arrestado en un determinado plazo de tiempo.

Los correos electrónicos se envían con el asunto “Central Intelligence Agency – Case #81927364”, donde el número es diferente para cada correo. El e-mail puede llevar adjuntas diferentes imágenes del sello de la CIA.

Los ciberdelincuentes falsean la dirección del remitente del correo y utilizan dominios que hacen referencia a la CIA como: xxxxx@qcbu.cia-gov.tk o xxxxx@zcpa.cia-gov-it.gq

En el cuerpo del mensaje se indica el número del caso que se menciona en el remitente y el motivo por el cual se está llevando a cabo la investigación. El remitente se identifica como un técnico oficial que trabaja para la Agencia Central de Inteligencia (Central Intelligence Agency – CIA) y menciona que dispone de los datos personales del destinatario, haciendo referencia a la dirección de correo electrónico, entre otros.

El objetivo del correo es sobornar a la víctima solicitándole una cuantía de criptomonedas para que la transfiera a una cartera de bitcoins (esta dirección de cartera puede variar). Una vez confirmada la transacción, el ciberdelincuente tranquiliza a víctima, indicándole que los archivos pornográficos vinculados a sus datos personales, desaparecerán.

Hasta el momento, todos los correos detectados son en lengua inglesa.

*Fuente Información: INCIBE – OSI

Nueva Campaña de Phishing suplantando a ING

Se ha detectado una nueva campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad bancaria ING, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria.

Como en cualquier otro caso de phishing, hay que extremar las precauciones y avisar a vuestros empleados para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o como en este caso, enlaces externos a páginas de inicio de sesión.

Si alguno de vuestros empleados ha recibido un correo de estas características, ha accedido al enlace e introducido los datos de acceso a la cuenta bancaria, deberá modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación. Además se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

Como pautas generales, para evitar ser víctima de fraudes de este tipo, os recomendamos:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
  • Asegúrate que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

Detalles de la Campaña: La campaña de correos electrónicos fraudulentos que suplanta a ING tiene como asunto «Verificación de datos personales» aunque no se descarta que puedan utilizar otro tipo de asuntos. En la comunicación se informa a los usuarios que debe actualizar los datos personales asociados a su cuenta, para ello debe acceder al «Área de clientes» facilitando un enlace en el correo.

Si se selecciona el enlace incluido en el correo, el usuario será redirigido a una página web que suplanta ser la legítima. En ella se solicita que el usuario introduzca su documento de identificación y fecha de nacimiento.
Una vez que se envía la foto el usuario será redirigido a la página web legítima de ING y todos sus datos personales y bancarios ya estarán en posesión de los ciberdelincuentes.

Nueva Campaña de Phishing suplantando al BBVA

Se ha detectado una nueva campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad bancaria BBVA, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria.

La campaña maliciosa detectada suplantando al BBVA tiene como asunto “Importante: Tenemos que actualizar tus documentos”. En la comunicación se informa al usuario que debido a la ley 03/2019 de prevención de blanqueo de capitales, el usuario debe actualizar su documentación, para ello dispone de 8 días, en caso contrario, la cuenta bancaria asociada no podrá recibir más ingresos.

Los ciberdelincuentes para dar más veracidad a la comunicación han falseado la dirección del remitente haciendo que parezca que proviene de la entidad bancaria, cuando en realidad no es así.

Cabe destacar que en la comunicación se muestran gran cantidad de errores ortográficos, algo que el BBVA o cualquier entidad bancaria no cometería.

Si se selecciona el enlace incluido en el correo, el usuario accederá a un servicio de microbloging (Tumblr) que se ha utilizado como puerta de entrada hacia la página de phishing con el objetivo de que sea más difícil de detectar el fraude.

Si se aceptan las condiciones de Tumblr el usuario llegará a la página web fraudulenta que suplanta al BBVA. Esta página cuenta con un certificado de seguridad, pero este no corresponde con el de la entidad bancaria.

Tras introducir las credenciales de acceso, será redirigido a una sección donde se solicitan datos sobre la tarjeta bancaria, incluyendo el PIN, algo que ninguna entidad bancaria ni servicio web legítimo, requeriría.

En caso de introducir los datos de la tarjeta bancaria y pulsar el botón «Confirmar», el usuario acabará llegando a la página web legítima del banco BBVA.

*Fuente información: INCIBE

Nueva campaña de Phishing suplantando a Caja Rural

Se ha detectado una nueva campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad bancaria Caja Rural (multicanal Ruralvía), cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria.

Como en cualquier otro caso de phishing, extreme las precauciones y avise a sus empleados para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o como en este caso, enlaces externos a páginas de inicio de sesión.

Si algún empleado ha recibido un correo de estas características, ha accedido al enlace e introducido las credenciales de acceso a la cuenta bancaria, deberá modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación. Además se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
  • Asegúrese que las cuentas de usuario de sus empleados utilizan contraseñas robustas y sin permisos de administrador.

Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

*Fuente: INCIBE

Nueva campaña de envíos de falsos presupuestos en Excel como adjuntos maliciosos

Se ha detectado una nueva campaña de difusión de código malicioso a través de hojas de cálculo adjuntas en correos electrónicos. Estos correos suplantan a empresas que solicitan un presupuesto incitando al receptor a que abra un fichero adjunto que podría infectar su equipo.

Si has descargado el archivo haz un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

Para evitar ser víctima de este tipo de engaños, sigue estas recomendaciones:

  • Desactiva las macros en Microsoft Office.
  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínelos directamente.
  • No contestes en ningún caso a estos correos.
  • Revisa los enlaces antes hacer clic aunque sean de contactos conocidos. Desconfía de los enlaces acortados.
  • Desconfía de los ficheros adjuntos aunque sean de contactos conocidos.
  • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprueba que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de Administrador.

Además, es importante realizar periódicamente copias de seguridad. Guárdalas en una ubicación diferente y verifica que se realizan correctamente. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa de forma ágil.

Si un trabajador de vuestra empresa recibe en su correo electrónico corporativo un mensaje con un texto que informa del envío de un presupuesto como fichero adjunto, como se muestra en la siguiente imagen superior, si abre la hoja de cálculo adjunta el equipo puede quedar infectado por malware.

*Fuente Información: Incibe

Nueva campaña de Phishing que te roba tus datos con archivos falsos de WeTranfers

Se ha detectado una nueva campaña de phishing a través del envío de archivos falsos de WeTransfer para robar las claves de los usuarios. Prestad atención a las características de esta nueva campaña, revisad con cuidado vuestra bandeja de entrada y no lo más importante no caigais en la trampa.

El phishing está a la orden del día y continúa siendo una de las estrategias preferidas por los ciberdelincuentes para robar las contraseñas de las víctimas. En esta ocasión ha sido descubierta una nueva campaña dirigida a los usuarios de WeTransfer, el popular servicio en la nube que permite enviar y recibir archivos de gran tamaño de manera gratuita.

De acuerdo con el informe de ESET, los atacantes envían a las víctimas un correo electrónico que indica que el destinatario ha recibido dos archivos vía WeTransfer. El mensaje simula los emails que envía el servicio para compartir archivos, e incluye los nombres de los ficheros, el peso y la fecha de eliminación de la plataforma, así como un botón para proceder a su descarga.

El remitente es el indicativo más claro de que nos encontramos ante un correo electrónico falso, ya que en lugar de ser el habitual (noreply @wetransfer.com), se trata de una dirección correspondiente a un dominio de correo desconocido. 

En caso de hacer clic en el botón para descargar los supuestos archivos de WeTransfer, en lugar de ir a la web legítima el enlace dirige a la víctima a una página falsa que imita el diseño del servicio oficial. Si te fijas en la barra de direcciones, verás que el dominio no es el oficial, sino un dominio de Chile. 

Una vez en la página falsa, el sistema solicita que se introduzcáis los credenciales de WeTransfer para descargar los archivos, otro factor que tiene que hacer que la víctima desconfíe, ya que el servicio nunca solicita claves de ningún tipo para efectuar la descarga.

En caso de introducir vuestras credenciales, caerán en manos de los atacantes y serás redirigido a una página que indica que la descarga de los archivos ha expirado. Por lo tanto, el único objetivo de esta campaña es robar contraseñas, ya que no se lleva a cabo la descarga de ficheros infectados con malware. 

Si habeís recibido este correo falso de WeTransfer y habéis caído en la trampa, cambiad vuestra contraseña cuanto antes y avisad al servicio de lo que te ha sucedido. Además, si cometéis el error de utilizar las mismas claves para acceder a otras cuentas y perfiles, también es recomendable que las modifiquéis.

Fuente: ESET, ComputerHoy