Skip to main content

Este email de Correos es una estafa para vaciar tu cuenta corriente

Phishing Correos

Getty Images / Incibe

14/09/2020 - 22:15

Si has recibido este email de Correos, bórralo: se trata de una campaña de phishing con el objetivo de robar tus datos financieros para vaciarte la cuenta corriente.

Las campañas de phishing que suplantan a Correos son bastante habituales. Teniendo en cuenta el auge del comercio electrónico, que en la nueva normalidad ha experimentado un crecimiento más acusado, los ciberdelincuentes saben que los usuarios están ahora más pendientes que nunca de los envíos postales. Por este motivo, utilizando como gancho a la compañía postal tienen más posibilidades de éxito que suplantando a otras empresas. 

Si quieres evitar ser una víctima de phishing, el Instituto Nacional de Ciberseguridad (INCIBE) ha alertado de una nueva estafa de la que tienes que estar al corriente. Se trata de una nueva campaña que envía un email falso supuestamente en nombre de Correos, cuyo único objetivo es robar tus datos personales y financieros para vaciar tu cuenta corriente.

La mecánica de esta estafa es similar a la que hemos visto en otras ocasiones. Los criminales remiten el correo electrónico fraudulento a la víctima, donde el mensaje indica que el usuario tiene un paquete a su nombre esperando en la oficina para ser recogido.

Captura página de phishing a Correos

INCIBE

El email explica que, debido a que el paquete no ha podido ser entregado, debido a la demora es necesario abonar un importe de 2,99 euros. Dado que se trata de una cantidad baja, parece razonable que se corresponda con los costes del servicio, por lo que la víctima no desconfía y cree que es una reclamación real.

El mensaje contiene un botón para solicitar el envío del paquete que lleva a una página falsa que suplanta a la web legítima de Correos. Como puedes ver en la captura un poco más arriba, el diseño está bastante logrado, por lo que a priori la víctima no tiene por qué sospechar nada.

El formulario solicita los datos de la tarjeta bancaria del usuario: nombre y apellidos, número de tarjeta, fecha de caducidad y CVV. A continuación se muestra una página ilegítima que simula ser una pasarela de pago de Redsys, donde se pide a la víctima que introduzca la clave que le ha llegado por SMS.

En caso de facilitar todos estos datos, quedarán en poder de los ciberdelincuentes, que los utilizarán con fines maliciosos y podrían vaciarte la cuenta corriente o hacer compras en tu nombre, por poner algunos ejemplos. Si has caído en la trampa, ponte en contacto con tu banco cuanto antes para informar de lo que ha sucedido y dar de baja tu tarjeta.