Spam y phishing

Los prestamistas en el spam: robo de datos, troyanos y otras peculiaridades de los créditos "baratos"

Hoy en día los créditos se han convertido en una de las principales fuentes de ganancias para los bancos y demás organizaciones financieras. Millones de personas en todo el mundo prefieren vivir de préstamos, comprando a plazo bienes y servicios, comprometiéndose a pagar intereses altos a sus acreedores.

Pero no siempre es fácil recibir un crédito. Como mínimo, el prestatario debe demostrar que es capaz de pagar cada mes parte de la suma solicitada. Las demás condiciones dependen del país de residencia y las exigencias de cada organización financiera en particular. Por lo general, son los grandes bancos los que ponen las condiciones más estrictas. Con frecuencia, las pequeñas organizaciones y los prestamistas particulares son más accesibles al usuario y compensan los posibles riesgos estableciendo intereses más altos. Sin embargo, al no poder competir con los bancos de renombre en el nivel y dimensión de las campañas publicitarias, con frecuencia recurren a la ayuda de los envíos electrónicos masivos. A menudo detrás de estos mensajes se esconden organizaciones poco honradas cuyos servicios resultan en realidad mucho más caros de lo prometido y también los típicos estafadores de Internet.

 

¿Cuál es el peligro del spam con publicidad de créditos?

El intento de aprovechar la propuesta de crédito de un envío de spam puede causar inconvenientes ya en la etapa de lectura del mensaje electrónico. Analicemos con más detalle cuales son las amenazas concretas que pueden representar los mensajes no deseados de esta temática.

  1. Phishing: intento de robo de datos financieros del usuario mediante páginas web falsificadas que parecen formularios oficiales de solicitudes de bancos de renombre. Al ingresar sus datos personales en un sitio phishing, el usuario se los entrega a los estafadores. Estos, por su parte, pueden usar los datos recibidos para pedir crédito en nombre de la víctima. La estafa se descubre mucho después, cuando el usuario recibe una citación al juicio por no pagar el crédito.
  2. Entrega voluntaria de datos personales a terceras personas. En este caso, para recolectar la información sobre la víctima, los delincuentes no usan páginas web falsificadas, sino diferentes pretextos plausibles, por ejemplo, ayuda para formalizar un crédito. Al final, reciben importantes datos del usuario, entre ellos datos financieros. Y aunque no se trate de la contraseña del sistema de banca online, o el código de seguridad de la tarjeta (CVV), y sólo de los datos de identidad o de contacto, se les puede dar mal uso, por ejemplo para falsificar documentos.
  3. Programas maliciosos en los adjuntos. A menudo, los delincuentes envían diferentes programas maliciosos bajo la apariencia de formularios de solicitud de crédito o de contratos de crédito ya aprobados. Como regla, los programas maliciosos vienen comprimidos en un archivo o disfrazados de ficheros inofensivos (por ejemplo, mediante extensiones dobles). El intento de abrir el “contrato” recibido puede infectar el sistema o causar la pérdida de los datos almacenados en el disco duro.
  4. El spam inunda el buzón de correo. Responder a un mensaje spam, incluso si no se tiene la intención de usar los servicios que se ofrecen, hace entender a los spammers que la dirección existe y está en uso (algunos spammers envían mensajes al azar a una lista de direcciones generadas). Como resultado, la cantidad de mensajes publicitarios que se envían a a dirección “activa” puede aumentar notablemente.

A continuación estudiaremos en detalle los mensajes típicos de spam con ofertas de créditos y analizaremos sus principales componentes.

 

Principales características de los mensajes

El spam con ofertas de créditos se envía por todo el mundo. Sin depender del idioma en que esté escrito, los mensajes de esta temática son muy parecidos entre sí. Por supuesto, existen algunas diferencias que caracterizan el spam enviado desde determinados países, pero están relacionados más con las peculiaridades económicas y leyes que regulan las relaciones crediticias en determinados territorios. 

Asunto del mensaje

Por lo general, el asunto del mensaje con publicidad de créditos tiene relación directa con su contenido. En esencia, se trata de una oferta de negocios, por eso en el asunto del mensaje se pone sólo información breve, la más importante.

 En los encabezamientos de los mensajes en inglés las frases más comunes son préstamo urgente (urgen loan), consiga un préstamo (get a loan), y con gran frecuencia se indica el porcentaje del interés. En los mensajes en alemán, hay aún menos palabras, todo es exacto y concreto, sin detalles superfluos: Darlehen/Kredit/Finanzierung Angebot.

 

Campo remitente (From)

El spam de créditos llega en su mayor parte desde direcciones registradas en servicios de correo gratuito. Los spammers pueden apoderarse de buzones de correo ajenos y poner estas direcciones en el campo del remitente, y también generarlas de forma automática y en grandes cantidades, sin temer por la posible revelación de su identidad o de que los bloqueen los filtros antispam.

En el campo del remitente puede indicarse: un nombre, por lo general desconocido para el destinatario (Paul), un nombre y apellido (Jerry Brown, Kim James) o el nombre de la organización financiera que envió el mensaje. Con frecuencia en lugar del nombre del remitente se pone la palabra “crédito” o una frase que la contiene (LOAN SERVICE, KREDIT). O también en el campo del destinatario se indica sólo una serie de letras y números sin sentido, generada automáticamente. Esta es una de las características del spam financiero en general.

 

Contenido del mensaje

El texto del mensaje con publicidad de servicios crediticios puede ser extenso y detallado, o también muy conciso: solo una frase que propone, en caso de tener interés, responder a la dirección indicada.

 

Sea como sea, todos los mensajes tienen rasgos comunes, característicos tanto para este tipo de correspondencia indeseada, como para el spam en general.

Vocativos

Lo más frecuente es que en el spam de créditos no se llame al destinatario por su nombre, y que los spammers usen saludos cortos anónimos, por ejemplo «Good day», «Guten Tag», «Hallo», «Ich grüße euch». Otra forma muy común es dirigirse al usuario como a un posible futuro cliente. «Dear Client», «Dear Valued Client», «Sehr geehrter Kunde». Es muy poco probable que el nombre del usuario se encuentre en el spam.

Promesas

Los remitentes del spam crediticio tratan de atraer clientes potenciales prometiéndoles grandes sumas de dinero (a veces hasta varios millones en efectivo) entregados en poquísimo tiempo (desde unas cuantas horas hasta un par de días), sin prendas ni garantes, sin certificados de ganancia y, en general, pidiendo una cantidad mínima de documentos. A algunos prestamistas no les interesa ni siquiera que el cliente potencial ya haya tratado de conseguir un crédito en uno o varios bancos conocidos y se lo hayan negado.

Los spammers usan con habilidad la publicidad agresiva. Con frecuencia se destacan de forma visual (con otro tipo de letras o de color) las frases más significativas, destinadas a crear cierto efecto sicológico: por ejemplo, hacer que el usuario crea que el crédito le es imprescindible y que la negativa del banco anterior es un error sin ningún fundamento. Y que ahora ya no habrá negativas y, por el contrario, le ayudarán con gusto.

 

Con frecuencia los autores de mensajes spam no entregan el dinero personalmente, sino que juegan el papel de intermediarios. Prometen enviar la solicitud del usuario, de inmediato, a varios bancos, donde los empleados la esperan con impaciencia y están dispuestos a competir por el cliente, ofreciéndole las condiciones más atractivas, incluso si éste sólo tenía la intención de adquirir un nuevo diván.

Los spammers no solo ofrecen  créditos en efectivo, sino también tarjetas de crédito con grandes límites de crédito de bancos conocidos. Pero detrás de estas ofertas con frecuencia se esconden intentos de phishing.

 

A veces llegan este tipo de mensajes: “Su crédito ya está aprobado, se le ha asignado un número, el dinero se puede retirar en cuanto nos envíe los datos de su cuenta, a la que enviaremos la suma”. El cálculo de los autores es el siguiente: si se interesa en el crédito (que el destinatario probablemente no pidió) aprobado sin presentar ningún papel y sin esperar la decisión del banco, el usuario enviará a los estafadores toda la información sobre su cuenta bancaria.

 

Particularidades geográficas

El spam crediticio alemán tiene cierta peculiaridad muy difundida. Es que en Alemania existe una organización financiera especializada, SCHUFA. Es una de las agencias de crédito más grandes del mundo, a la que llega toda la información sobre todas las cuentas abiertas, los créditos tomados y demás deudas en todo el territorio del país. Con estos datos SCHUFA calcula el coeficiente de confianza (capacidad crediticia) de la persona. Es precisamente SCHUFA la institución a la que recurren las organizaciones financieras alemanas para pedir información (SCHUFA-Auskunft) antes de decidir si dar el crédito. Por eso, si una persona tiene un crédito sin pagar, es poco probable que le den uno nuevo.

 

Oficialmente, todas las decisiones sobre créditos, todas las solicitudes y comprobaciones deben realizarse a través de esta organización. No obstante, los mensajes spam en alemán prometen a los usuarios créditos por cualquier suma sin necesidad de certificados de la SCHUFA, es decir, pasando por alto la etapa de comprobación de solvencia. Por eso, ese tipo de oferta puede incluso aprovecharlo un cliente que ya ha recibido la negativa de un banco. Estas ofertas, en su mayoría, provienen de acreedores extranjeros y suponen la formalización del crédito fuera de los límites de Alemania y según las leyes del país de donde vino la oferta. Y allí, por lo general, son mucho más blandas.

 

A menudo los spammers también tratan de camuflar las ofertas de créditos otorgados sin pasar por la SCHUFA. Por ejemplo, el mensaje puede lucir como un envío de información o de noticias donde una de ellas se dedica a la información sobre créditos sin certificados de la SCHUFA y sus consecuencias. El mensaje contiene un enlace a una noticia que se asemeja a un breve artículo analítico. Pero más abajo, en la misma página, se destaca un enlace a un crédito sin aprobación de la SCHUFA.

 

Enlaces

Con frecuencia los mensajes contienen enlaces cortos a páginas donde el destinatario puede rellenar un formulario para recibir el crédito deseado. Según las promesas del mensaje, poco tiempo después un empleado llamará al número de teléfono que se indica en la solicitud y se encargará en persona del proceso de formalización de los documentos. Por lo general estos enlaces cambian de mensaje en mensaje y remiten al usuario a sitios creados hace poco para hacer publicidad.

 

Los enlaces también pueden llevar a servicios conocidos y visitados por una gran cantidad de usuarios. Por ejemplo, el servicio de hospedaje de vídeo YouTube contiene una enorme cantidad de este tipo de publicidad. Muchas veces los clientes de los envíos de spam filman videos especiales sobre sus servicios, los ponen en YouTube y ponen los enlaces al vídeo en los mensajes que mandan a una gran cantidad de destinatarios. En el video publicitario de YouTube del ejemplo siguiente se habla en detalle de la compañía que ofrece préstamos y sobre las condiciones para recibirlos.

 

Retroalimentación

Para ponerse en contacto con los prestamistas y recibir información más detallada sobre los servicios se le ofrece al destinatario una de las siguientes variantes:

  • contestar al mensaje recibido;
  • Responder a otra dirección (supuestamente personal, y por lo general, hospedada en un servicio de correo gratuito: Yahoo Mail, Hotmail, Gmail, etc.);
  • Rellenar una solicitud online con su número de teléfono (y a veces sus datos de identificación personal);
  • Llamar al teléfono indicado en el mensaje, que a menudo es un número de teléfono móvil.

El segundo punto de la lista no inspira confianza en el mensaje recibido, y el último puede ser un indicio de que el prestamista no tiene una oficina y hace dudar de la calidad de los servicios que ofrece.

Adjuntos

Con frecuencia los mensajes con ofertas de créditos contienen adjuntos adicionales. Puede tratarse de ficheros Adobe PDF o Microsoft Word con publicidad de la organización crediticia en cuyo nombre se envió el mensaje, una descripción detallada de la oferta y las condiciones del crédito, además de los datos de contacto. Con frecuencia estos adjuntos son un formulario de solicitud en el que se le pide al destinatario indicar sus datos personales como número de teléfono, correo electrónico e incluso el número de pasaporte.

 

Hay que recordar que es arriesgado abrir documentos de texto enviados por remitentes desconocidos, ya que pueden contener un virus que se ejecuta mediante un macros (los así denominados macrovirus). Por eso, antes de abrir cualquier documento, incluso uno de texto, se recomienda revisarlo con un antivirus.

Pero aún menos confianza inspira un archivo ZIP adjunto. Con mucha frecuencia estos archivos contienen programas maliciosos disfrazados de documentos de texto o gráfico. Causan particular desconfianza los mensajes que no contienen nada, ni siquiera un texto publicitario, además del adjunto y sólo el encabezado indica que se trata de una oferta de crédito. Los autores de estos textos se limitan a ofrecer abrir el adjunto para recibir información detallada.

 

Arriba presentamos un ejemplo de uno de los mensajes con un archivo adjunto que contiene un programa malicioso que los productos de Kaspersky Lab detectan como Trojan-PSW.Win32.Tepfer.pate. Está destinado a robar información confidencial, en particular, datos de gestión de una cuenta bancaria. Al ejecutarse, el programa malicioso busca la información necesaria en los ficheros y registro del sistema y si los encuentra, envía los datos encontrados a su "dueño".

¿Quién ofrece el crédito?

El spam de crédito se envía en nombre de los prestamistas de varias categorías:

  1. Una compañía que afirma ser una organización crediticia oficial.

Estos mensajes contienen publicidad vistosa con el logotipo de la compañía. Para comunicarse con los prestamistas se indica una dirección jurídica, teléfonos de contacto, correo electrónico (por lo general registrados en hostings de dominios "de un solo día"). Con frecuencia el mensaje tiene adjunto un folleto que también contiene la información de contacto e información aún más detallada de los servicios ofrecidos por la compañía. El destinatario de este mensaje puede presentar una solicitud para un crédito llamando a los teléfonos indicados o enviando un mensaje a la dirección de correo indicada (que puede o no ser la misma que la del remitente del mensaje publicitario).

 

  1. Corredores de crédito.

A menudo los remitentes de mensajes no solicitados se presentan como intermediarios que prestan ayuda para recibir créditos. Estas organizaciones se hacen cargo de todos los papeles y lo más probable es que tengan relaciones pactadas con determinados prestamistas. Ellos buscan activamente clientes potenciales para sus socios y trabajan por un porcentaje de los contratos, que sin lugar a duda, se incluirá en los intereses del crédito. Surge el riesgo de desinformar al cliente y también de que pague en exceso.

 

  1. Personas particulares.

Una propuesta spam proveniente de una persona particular como regla empieza con la presentación del remitente y tiene el siguiente aspecto: “Soy el señor fulano de tal, inversionista particular, presto dinero con intereses muy bajos a todos lo que los pidan. Si está interesado, escriba a esta dirección indicando su información detallada, la suma del crédito y los intereses deseados". Este es uno de los tipos de spam crediticio más propagados, y los creadores de spam lo usan en cualquier idioma.

 

Los prestamistas particulares envían sus propuestas por todo el mundo, poniendo el texto del mensaje en diferentes idiomas. En estos casos el texto del mensaje, como regla, es una traducción del inglés realizada mediante Google Translate o algún servicio similar. Como resultado las palabras y frases del texto tienen errores gramaticales y estilísticos, pero el sentido se puede entender por frases aisladas como “créditos para cualquiera que pueda necesitar un crédito para cualquier necesidad financiera”. La manera de ponerse en contacto con el prestamista potencial también queda claro en el contexto: “Usted tiene que enviarnos una solicitud para que la consideremos a xxxxx@live.com” o "Pedimos enviar correo atrás con información abajo si estar usted interesado”.

 

  1. Organizaciones de beneficencia

Algunos remitentes se presentan como organizaciones cristianas o de beneficencia que ayudan a todos los que lo necesitan. En estos mensajes se pueden citar fragmentos de la Biblia para hacerlos más convincentes.

 

  1. Remitente anónimo.

Con frecuencia nos topamos con mensajes completamente anónimos con textos como “prestamos dinero” o “NOSOTROS ofrecemos créditos”. Quienes son “nosotros” y las condiciones del crédito el destinatario, al parecer, lo averiguará si corre el riesgo de contestar a esta dudosa propuesta.

 

  1. Bancos de renombre.

Los mensajes spam supuestamente escritos por los representantes de algún banco conocido deben poner en guardia: los bancos respetables no echarán a perder su reputación publicitando servicios por medio de spam y enviar ofertas de crédito a personas que nunca fueron sus clientes. Como regla, detrás de estos mensajes se esconden intentos de phishing. Los estafadores ponen en el mensaje un formulario para enviar la solicitud de crédito online o un enlace a la misma. Si el destinatario del mensaje muerde el anzuelo y rellena el formulario, toda la información ingresada no llegará al banco, sino que caerá directamente en las manos de los estafadores. Con todo, la página de phishing puede contener el logotipo del banco en cuyo nombre se envió el mensaje y verse como una sección del sitio oficial del banco. Pero merece la pena prestar atención a la dirección del remitente del mensaje y el enlace en el renglón de direcciones del navegador al visitar la página de la solicitud, porque lo más probable es que no tengan nada que ver con los datos oficiales del banco.

 
Ejemplo de página phishing

  1. Propuestas enviadas por medio de redes sociales

Queremos hacer una mención particular del spam propagado mediante las redes sociales más populares, como Facebook, LinkedIn y otras. En estos casos se envía la publicidad no solicitada al cliente en forma de un mensaje personal de un contacto desconocido y a la dirección de correo del destinatario vinculada con la cuenta en la red social llega una notificación de un nuevo mensaje. El contenido de estos mensajes personales es típico del spam que tiene todas las características indicadas en este artículo.

 

Medidas de precaución

No es difícil evitar las consecuencias del spam de crédito.

En primer lugar, no hay que dejar los datos personales en sitios dudosos o ingresarlos en formularios recibidos por correo y enviados por remitentes desconocidos. Sobre todo esto es necesario si el equipo no tiene un antivirus que pueda detectar a tiempo el enlace de estafa y bloquearlo. Del mismo modo, no hay que enviar datos personales a terceras personas o iniciar correspondencia con desconocidos. Sobre todo si estos piden contestar una dirección diferente a la de la que llegó el mensaje, por supuestos motivos de confidencialidad de la información y otros pretextos.

En segundo lugar, no hay que ejecutar los ficheros ejecutables ni abrir adjuntos, sobre todo archivos y documentos de ofimática (en todo caso, hacerlo sólo después de analizarlos con un antivirus que los declare inofensivos). Por medio del spam no se envía nada realmente útil, pero es muy fácil que envíen un programa malicioso disfrazado de un documento de ofimática.

Y para terminar, no es una idea muy buena entrar en correspondencia con compañías desconocidas y prestamistas particulares. Es poco probable que las ofertas enviadas para “que cualquiera las acepte” tengan carácter oficial y sean completamente legales. Las compañías y las personas particulares con entradas legales no tienen ningún interés en ofrecer dinero con “intereses bajísimos” si pueden, por ejemplo, poner la misma suma en el banco y recibir ganancias mayores con la seguridad de poder recuperar el dinero invertido en cualquier momento. Lo más probable es que el bajo interés resulte en cobros excesivos de los que el receptor del crédito se enterará sólo después de recibir la suma deseada, si es que llega a recibirla. 

Los prestamistas en el spam: robo de datos, troyanos y otras peculiaridades de los créditos "baratos"

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada