“Hay un paquete para usted. Por favor, escanee el código QR”

Cómo extraen los ciberdelincuentes los datos de las tarjetas de crédito haciéndose pasar por el servicio DHL.

Las compras online ya son parte de nuestra vida diaria: compramos ropa, alimentos y otros productos y los recibimos en la puerta de casa con tan solo hacer un par de clics. Los adictos a las compras online, que ya son muchos, a veces pueden olvidarse de un paquete o perder una llamada del servicio de mensajería. Como era de esperar, esto es algo que también explotan los atacantes, usando falsas notificaciones de entrega de paquetes como cebo.

Un caso concreto que nos sirve como ejemplo de ello, son los ciberdelincuentes que se hacen pasar por el servicio internacional de mensajería urgente DHL. Sin embargo, en lugar de utilizar un típico enlace de phishing, en este caso, este tipo de estafa se inicia con un código QR que se encuentra en el correo electrónico recibido. En este post desarrollaremos el cómo y el porqué de este cambio.

“Su paquete está en la oficina de correos”

El ataque comienza con un correo electrónico, aparentemente de DHL. Aunque la dirección del remitente es un conjunto aleatorio de palabras que no se parecen al nombre del servicio de mensajería, el cuerpo del mensaje es bastante convincente: el logotipo de la empresa, un número de pedido (aunque falso) y la supuesta fecha de recepción de un paquete.

El propio mensaje (que en este caso está en español) indica que ha llegado un pedido a una oficina de correos local, pero el mensajero no ha podido entregarlo personalmente. Por lo general, este cebo va acompañado de un enlace para “resolver el problema”, pero esta vez aparece un código QR en su lugar.

E-mail con un código QR supuestamente de DHL. Por seguridad, en la captura de pantalla hemos reemplazado el código QR malicioso por uno inofensivo

 

Un código QR es algo bastante versátil. Se puede utilizar, por ejemplo, para conectarse a una red wifi, pagar una compra o confirmar la compra de una entrada de cine o de un concierto. Pero quizás su uso más común sea para distribuir enlaces offline como una forma rápida de llevar al usuario a una dirección web concreta, escaneando un cuadrado en blanco y negro que puede aparecer en el envase de un producto, en carteles publicitarios, en tarjetas de presentación o en cualquier otro lugar.

 

En este caso, los atacantes no estaban pensando en la comodidad del usuario, desde luego. La idea parece ser que, si la víctima abre en un primer momento el correo electrónico en un ordenador, después necesitará un smartphone para leer el código QR, lo que significa que la web maliciosa se abrirá en una pequeña pantalla de móvil en la que el phishing es más difícil de detectar. Debido a las limitaciones de espacio en los navegadores móviles, las URL no son completamente visibles. Y en Safari, la barra de direcciones se movió recientemente a la parte inferior de la pantalla, donde muchos usuarios no miran. Esto juega totalmente en favor de los ciberdelincuentes, porque la URL de su web falsa no se parece en nada a la oficial en la que ni siquiera aparece la palabra DHL.

El texto de la página web también se ve en pequeño, por lo que los errores de diseño se aprecian menos. De todas formas, no hay muchos de ellos: la página da la bienvenida a los usuarios con los colores de la marca registrada: el amarillo y el rojo, el nombre de la empresa se muestra a continuación y el texto prácticamente no tiene errores, excepto por un par de letras minúsculas al comienzo de las oraciones.

Se informa a la víctima que el paquete llegará en 1 o 2 días. Para recibirlo, se le solicita que ingrese su nombre, apellido y dirección con código postal. De hecho, el servicio de entrega solicita este tipo de información, por lo que esto no despierta sospechas.

 

La web falsa de DHL solicita información personal, además de los datos de la tarjeta bancaria

Pero la recopilación de datos no termina ahí. En la página siguiente, se le pide a la víctima que facilite información más confidencial: los datos de la tarjeta bancaria, incluido el código CVV que aparece en el reverso, supuestamente para pagar la entrega. Los atacantes no especifican una cantidad, solo mencionan que el coste depende de la región y aseguran que no se cobrará el importe hasta que llegue el paquete. De hecho, la auténtica empresa DHL sí exige por adelantado el pago de la entrega cuando se realiza el pedido y, si un cliente no se encuentra en el lugar de destino del paquete, el servicio de mensajería realiza otro intento de entrega de forma gratuita.

¿Qué hacen los delincuentes con tus datos de pago?

No es muy probable que los delincuentes comiencen a realizar cargos en la tarjeta de la víctima inmediatamente, ya que esta podría vincular estos cargos al correo electrónico del “DHL” falso. Lo más probable es que vendan los datos de pago en la dark web y será el que compre estos datos quien luego desvíe los fondos, cuando la víctima ya se haya olvidado del paquete inexistente.

Cómo protegerse

En este caso se aplican las mismas reglas habituales para la protección contra el ciberfraude:

  • Al recibir un correo electrónico que supuestamente proviene de un servicio conocido, verifica siempre la dirección de correo electrónico del remitente. ¿El nombre real de la empresa no aparece después de la @? Entonces, lo más probable es que sea una estafa. En este otro post desarrollamos otras señales de alerta que debes tener en cuenta para detectar una estafa
  • Si estás esperando un paquete, asegúrate de anotar el código de seguimiento y verifica su estado en la web oficial abriéndolo desde tus Favoritos o introduciendo la URL manualmente en un motor de búsqueda.
  • Para estar seguro, al escanear códigos QR, usa nuestro Kaspersky QR Scanner (disponible tanto para Android como para iOS). Esta aplicación te dirá si el código QR lleva a una web peligrosa.
  • Instala en todos tus dispositivos un antivirus de confianza con protección antiphishing y antifraude, que te advertirá a tiempo de cualquier peligro.

Consejos