En un comunicado de prensa, ESET Latinoamérica detalló cómo se llevó a cabo este crimen cibernético mediante un correo en el que se emula la imagen de FedEx e invita al usuario a pagar por el “reclamo de un paquete”.

“Los correos utilizan la misma tipografía y diseño de FedEx, dirigiendo a los usuarios a un sitio web falso que imita la estética de la marca. El sitio guía a la víctima a través de varios pasos antes de solicitar información sensible, como datos de tarjeta de crédito, para liberar el supuesto paquete retenido.”. advierte Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.

¿Cómo saber si el correo electrónico que recibí es legítimo?

La firma describe cómo sucede este caso específico de phishing:

1. Un correo electrónico fraudulento, simulando ser de FedEx con un asunto sobre un paquete retenido, llega a la víctima. El mensaje imita la apariencia de la marca e incluye la firma de FedEx Express para parecer auténtico. Un botón de "resolución de problemas" es el inicio del engaño, dirigiendo a una URL falsa que suplanta la de la compañía real

2. Al hacer clic en el enlace de seguimiento, el usuario es redirigido a una página web fraudulenta que simula un proceso para liberar la "entrega del paquete". La imagen muestra que, aunque la dirección web es diferente a la oficial de FedEx, utiliza una tipografía y un diseño visual similares a los de la marca

3. Si la víctima prosigue, el sitio la guía por varios pasos para pagar y recibir el supuesto paquete retenido. A través de las siguientes pantallas, incluso se programa una supuesta entrega mediante diversas opciones

4. Una vez que la persona ha seguido los pasos del correo engañoso, se le dirige a una página para pagar el envío de un paquete. Es en este punto donde los delincuentes informáticos obtienen la información de las tarjetas de crédito de la víctima. Si esta ha llegado hasta aquí, es posible que no sospeche de la página de pago, ya que los ciberdelincuentes la redirigen a un sitio web de compras real

Según la información brindada por ESET, los atacantes pueden identificar si la información bancaria proporcionada no es válida. De hecho, en ese caso, el sistema lanza una alerta para que el usuario ingrese datos verdaderos que, posteriormente, serán validados ante las empresas financieras que ofrecen tarjetas de crédito.

Una vez que hay certeza de que los datos son legítimos, los ciberdelincuentes pueden usarlos para venderlos en mercados irregulares.

¿Quieres saber más? ¡Sigue a IDC en Google News!

¿Qué se puede hacer para no ser víctima de este tipo de estafas?

Para no ser víctima de este tipo de fraude, ESET ofrece recomendaciones de seguridad esenciales:

1. Utiliza tarjetas virtuales para compras en línea más seguras. Muchos servicios financieros y billeteras virtuales ofrecen esta función, permitiéndote pagar a través de wallets con opciones como un CVC temporal

2. Desconfía si recibes comunicaciones no esperadas, especialmente si incitan a llevar a cabo acciones de urgencia. De cualquier forma, puedes corroborar si la entidad se puso o trató de ponerse en contacto contigo, a través de sus canales oficiales de comunicación

3. Ratifica que la URL sea segura (es decir, que inicie con “https://”) y que su dominio sea el oficial

“Tal como pudimos observar en este caso hay situaciones comunes a las distintas estrategias utilizadas por los ciberatacantes cuando despliegan phishing: ganarse la confianza con el usuario y transmitir un sentido de urgencia. Es importante estar atentos y no dejarnos llevar por las apariencias.”, concluye Micucci.

ÚNETE A IDC en nuestro canal de Whatsapp