Los spammers hacen reparto a domicilio: peligro garantizado

Las compañías y marcas famosas son los blancos preferidos de los estafadores. šY es que es mucho más fácil llamar la atención de los usuarios a los mensajes escritos por compañías populares y conocidas, con lo que crecen las posibilidades de que el usuario caiga víctima de los estafadores.

En este artículo estudiaremos a fondo los mensajes phishing y maliciosos enviados por los delincuentes en nombre de los servicios internacionales de entrega a domicilio. Los blancos más populares de los phishers son la compañía alemana DHL, las americanas FedEx y United Parcel Service (UPS) y la holandesa TNT. Todas estas compañías son internacionales, tienen filiales en los países más grandes del mundo y millones de clientes. Y como las compañías mencionadas brindan servicios en el mismo campo, al usar sus nombres los spammers recurren a los mismos métodos para crear mensajes fraudulentos y engañar a los usuarios.

Los phishers persiguen los siguientes objetivos:

1. Robar los datos confidenciales de los usuarios (datos de tarjetas bancarias, logins y contraseñas de los gabinetes personales), por lo general mediante el uso de páginas web falsificadas que tienen la apariencia exacta de las páginas oficiales del sitio web. El rasgo más importante del phishing es que el usuario es quien por su propia cuenta entrega a los estafadores sus datos personales al rellenar formularios en páginas falsificadas o enviándolas por correo.
2. Instalar en el equipo del usuario diferentes programas maliciosos que no sólo usan para hacer un seguimiento de las acciones de los usuarios y robar diversos tipos de información personal, sino también para organizar botnets que envían spam y lanzan ataques DDoS.

Encabezados de los mensajes fraudulentos

Campo remitente (From)

La estructura de la dirección en el campo From tiene el siguiente aspecto: Nombre del remitente <Nombre del remitente@nombre de dominio del servidor >. Los estafadores pueden cambiar cualquier elemento de la dirección para engañar al usuario, y hasta pueden hacerlo parecido a la dirección oficial del servicio de entrega a domicilio.

En los mensajes fraudulentos se pueden destacar varios grupos de direcciones electrónicas:

1. Direcciones electrónicas parecidas a direcciones legítimas pertenecientes a las compañías. En ellos se suele usar como nombre del remitente el nombre de la compañía (DHL INC, TNT COURIER SERVICE, Fedex, etc.). Como nombre del buzón de correo se usan con frecuencia las palabras info, service, noreply, mail, support, etc. que son típicas de las direcciones de correo electrónico que se usan para enviar diversos tipos de notificaciones oficiales. Como nombre de dominio del servidor se indican los dominios reales o nombres muy parecidos a los de las compañías.



2. Direcciones que no se parecen a las direcciones reales de la compañía. En estas direcciones se usa el nombre de la compañía como nombre del remitente (FedEx, DHL Service, FedEx.com), pero el nombre de dominio por lo general pertenece a diferentes servicios de correo gratuito o a compañías completamente diferentes. Los spammers pueden usar como dirección de correo electrónico las direcciones de usuarios reales (direcciones de correo electrónico hackeadas, direcciones recopiladas de diferentes fuentes abiertas) o direcciones creadas de manera automática. Las últimas suelen ser una combinación aleatoria de letras, palabras y cifras.



3. Direcciones parecidas a las de los empleados de las compañías. Como nombre del remitente las direcciones pueden contener el nombre y apellido, y también el nombre de la compañía o el cargo (Courier, Manager, etc.). En el nombre del buzón de correo se escribe el mismo nombre y apellido que figuran en el del nombre del remitente, ya que si son diferentes podrían poner en guardia al destinatario del mensaje fraudulento. Como nombre de dominio se puede usar el dominio verdadero de la compañía u otros dominios que no tienen nada que ver con las compañías de entrega a domicilio.



4. Direcciones en las cuales se indica sólo la dirección del remitente, sin mencionar su nombre.



Al analizar la dirección del remitente no hay que olvidar que para que en el campo del remitente figure el dominio real de la compañía, los estafadores no tienen que hackear el servidor de la compañía, ya que es suficiente poner en el campo From el nombre de dominio del servidor.

Campo Tema (Subject)

El tema del mensaje fraudulento debe atraer la atención del destinatario y motivarlo para que lo abra, pero al mismo tiempo debe tener aspecto verídico. Por esta razón los spammers escogen como tema frases comunes, típicas de los mensajes oficiales de los servicios de entrega a domicilio. šAl enviar un paquete o documentos, los clientes en mayor o menor grado se preocupan de que la entrega se haga, y por supuesto, no sólo tratan de hacer un seguimiento de su movimiento, sino también de leer todos los mensajes informativos enviados por los servicios de entrega a domicilio.

Los temas más populares son:

1. šTemas relacionados con la entrega o envío de paquetes (notificaciones de envío, estado de la entrega, confirmación de la entrega, documentos de envío, información sobre la entrega, etc.).

Ejemplos:



2. Temas relacionados con el seguimiento de los envíos, información sobre el pedido y facturas (número de seguimiento, seguimiento del envío, etc.).

Ejemplos:



3. Temas relacionados con las notificaciones sobre los mensajes y cuentas (creación y confirmación de la cuenta, recepción de nuevos envíos, etc.).

Diseño del mensaje

Los estafadores prestan especial atención al diseño del mensaje electrónico. Su principal objetivo es hacer que el destinatario crea en la veracidad del mensaje. Porque si éste parece sospechoso, lo más probable es que la víctima potencial simplemente lo borre, sin prestar atención al tema y la aparente dirección del remitente. Enumeremos los principales métodos que usan los estafadores para darle un aspecto legítimo a sus mensajes.

Diseño gráfico

Las grandes compañías que funcionan con éxito en el mercado mundial tienen sin falta su propio estilo característico, que incluye una marca registrada, un logotipo, una fuente, un eslogan, una gama de colores en el diseño del sitio oficial, en los envíos y en los vídeos de publicidad y otros componentes. Los delincuentes usan algunos de los elementos mencionados para atraer la atención del destinatario y darle un aspecto legítimo al mensaje. En particular, los phishers usan con más frecuencia el logotipo, ya que este elemento es único para cualquier compañía, porque por él se reconoce y diferencia a la compañía entre las demás organizaciones.

Ejemplos de uso de los logotipos de la compañía DHL en los mensajes fraudulentos.

Analicemos los ejemplos. Salta a la vista que el logotipo en el segundo ejemplo es muy diferente del oficial de la compañía. Otro síntoma de la falsificación es que el tamaño del logotipo falso es diferente al original, como en el cuarto ejemplo, donde ocupa casi una tercera parte del mensaje. Lo más probable es que el tamaño del logotipo usado en este ejemplo se use para llamar la atención del usuario, ya que el destinatario se fija en primer lugar en la imagen de gran tamaño, y no en el texto del mensaje. Con el mismo objetivo los estafadores escribieron la dirección del enlace phishing con una letra más grande: el usuario tendría que hacer clic de inmediato, sin leer el texto comparativamente pequeño del mensaje.

En el primer ejemplo los estafadores trataron de copiar el diseño del sitio oficial (un truco muy popular), pero pusieron el logotipo a la derecha y no a la izquierda y no usaron un fondo uniforme, sino uno que cambiaba de intensidad. El logotipo del tercer ejemplo es el que copia con más exactitud el logotipo original de DHL. Los estafadores trataron de respetar sus dimensiones y diseño. Merece la pena destacar que no es difícil hacer un logotipo para un mensaje fraudulento: por lo general en Internet se puede encontrar la imagen original en diferentes formatos gráficos, entre ellos los de vector.š Además del logotipo, los estafadores usan la gama de colores escogida por la compañía para sus recursos y envíos oficiales. Por ejemplo, para la compañía DHL se usa la combinación de amarillo y rojo.

Diseño del texto

En el texto de la mayoría de los mensajes oficiales se puede encontrar una serie de frases estándar, sobre todo si se trata de una notificación oficial generada y enviada de forma automática. En estos mensajes también están presentes los contactos y enlaces a los recursos oficiales de la compañía remitente. Por esto, para que el texto del mensaje falsificado se parezca a una notificación verdadera del servicio de entrega, los estafadores usan:

1. Frases típicas de los envíos oficiales: Por favor no responda a este mensaje; Este es un mensaje generado automáticamente, por favor no responda; Todos los derechos reservados; Este mensaje puede contener información confidencial. Este es un email automático, por favor no responda, etc.



2. Enlaces a las páginas oficiales de la compañía. No todos los enlaces presentes en el mensaje fraudulento son de phishing. Los spammers también pueden usar enlaces verdaderos que llevan a recursos oficiales para darle una apariencia legítima al mensaje y evadir los filtros antispam.



3. Información de contacto. Los estafadores con frecuencia indican los datos (nombre, apellido, cargo, dirección de la oficina) de un empleado en particular, el remitente, o los datos generales de la compañía. Cabe destacar que estos contactos pueden ser tanto direcciones y teléfonos verdaderos, como falsos.

Contenido del mensaje

Para los estafadores que envían mensajes falsos, no sólo es importante convencer al destinatario de que el mensaje es verdadero, sino también hacer que la víctima ejecute por su propia voluntad ciertas acciones, por ejemplo, brinde información personal o instale un fichero malicioso. Para este fin los delincuentes usan métodos de coacción sicológica sobre el destinatario. En este caso el principal instrumento en las manos de los phishers es el texto del mensaje, para ser más exactos, su contenido.

En las notificaciones fraudulentas supuestamente enviadas por los servicios de entrega los delincuentes con frecuencia usan los siguientes trucos:

1. Notificaciones sobre diferentes errores y motivos de su aparición (entrega fallida, falta de información, dirección incorrecta, ausencia del destinatario en la dirección de la entrega, etc.).

Por lo general estas frases están relacionadas con la entrega del paquete, ya que este es el campo de servicios ofrecidos por las compañías que estamos analizando. Por esto, la notificación sobre el error en la entrega enviada por la compañía logística no le despierta ninguna sospecha al destinatario, sobre todo si en el mensaje hay una explicación sobre los motivos de la falla y algún detalle.



2. Solicitudes de realizar algunas acciones, indicando qué sanciones se tomarán si no se las hace. Por ejemplo, “recoja su paquete al término de 5 días, de lo contrario se devolverá al remitente".

Los estafadores usan estas frases para obligar al destinatario a hacer de inmediato lo escrito en el mensaje. En este caso los phishers cuentan con que el usuario, temiendo no recibir el paquete o tener que pagar multas, no lo pensará mucho y bajo la influencia de la emoción les entregará sus datos personales o ejecutará un fichero malicioso.



3. Frases que indican el contenido del adjunto o lo que se verá si se sigue el enlace (la cuenta, información detallada, documentos).

Si el usuario no sabe o no está seguro de lo que hay en el enlace o en el adjunto, es poco probable que actúe de la manera que quieren los delincuentes. Por eso los estafadores hacen pasar las páginas falsificadas como páginas de los sitios oficiales y los programas maliciosos del archivo como documentos que contienen diversa información sobre el paquete enviado. Además, si en el texto de la notificación se dice que en el adjunto, por ejemplo, está la factura de transporte, el archivo malicioso tendrá un nombre similar, por ejemplo, "factura de transporte.zip". Esto también sucede con los enlaces phishing. Los delincuentes los ponen en las frases correspondientes del texto, por ejemplo en “información sobre la entrega”.

Los spammers usan este simple método para que el destinatario no tenga dudas de que en el adjunto o en el enlace hay exactamente lo que se menciona en el texto de la notificación.



4. Frases sobre la necesidad de ejecutar determinadas acciones (seguir un enlace, abrir un adjunto, imprimir un fichero, etc.).

Imaginemos que los estafadores han logrado convencer al destinatario de que el mensaje es verdadero. Más adelante hay que comunicar a la víctima potencial que es lo que tiene que hacer para resolver los problemas descritos en el mensaje, ya que el objetivo final de los delincuentes es justo la ejecución de las acciones mencionadas en el mensaje. Para los estafadores, aquí no sólo es importante comunicar al destinatario lo que hay que hacer, sino también que entienda lo escrito en el mensaje. Para evitar la mínima incomprensión por parte del destinatario, en el texto del mensaje con frecuencia se encuentran las acciones específicas que debe ejecutar el usuario.

Qué puede cambiar en el texto

Engañar al usuario no es la única tarea de los delincuentes. Primero tienen que evadir los filtros antispam y hacer llegar los mensajes a los buzones electrónicos de las víctimas potenciales. Uno de los métodos más populares y usados desde hace más tiempo para evadir los filtros antispam es la modificación de fragmentos de texto en el mensaje. En los programas modernos de envío de spam hay una gran cantidad de posibilidades de generación de numerosas variantes de modificaciones del texto. Un texto que cambia de mensaje en mensaje hace que éste sea único, y la presencia de diferentes tipos de información personal en los mensajes de un envío masivo, por ejemplo el número de envío, el saludo, la fecha, etc. ayuda a convencer al destinatario que el mensaje le ha sido enviado sólo a él. šAdemás, los estafadores pueden enviar mensajes cortados con la misma tijera durante varios meses, y para esto sólo les hace falta modificar algunos elementos del texto.

En las notificaciones fraudulentas se modifica:

1. La información sobre el pedido o el envío. Esto sobre todo se refiere al número de envío, el número de seguimiento, las fechas de entrega, etc.
2. Los datos de contacto y los nombres de los remitentes, los nombres de las compañías. En algunos envíos, como datos de contacto con los representantes de la compañía que envió el mensa se ponen teléfonos o direcciones de correo electrónico. Son precisamente estos datos los que cambian de mensaje en mensaje. Además, también pueden cambiarse los nombres de los representantes de la compañía y el mismo nombre de la compañía. š
3. El nombre del adjunto. Esto sobre todo afecta a los adjuntos maliciosos cuyos nombres cambian en los mensajes de un solo envío masivo, pero donde bajo diferentes nombres se esconde el mismo programa malicioso.
4. Los enlaces. šEn los mensajes phishing y en aquellos que contienen enlaces maliciosos los spammers con frecuencia cambian justo las direcciones de los enlaces, camuflándolos, usando entre otras técnicas los servicios de reducción de enlaces. En general, los antivirus modernos bloquean con celeridad estos enlaces.
5. Las frases con indicaciones de cantidades y fechas. Entre las indicaciones de cantidades están la duración (días, horas), cantidad de dinero y la fecha.
6. Saludos.š Por lo general los spammers suelen poner como saludo en el cuerpo del mensaje la dirección electrónica y/o el nombre del destinatario. A veces, en vez de saludo se pueden usar palabras de uso común (estimado cliente, etc.).
7. Otros fragmentos de texto. Algunas palabras se pueden reemplazar con sinónimos o palabras de significado similar, pero sin cambiar su sentido semántico. Por ejemplo, la palabra paquete se puede reemplazar por la palabra encomienda y la palabra contenido por adjunto.

Tomando como ejemplo varios envíos, analizaremos las variantes de cambio de texto en los mensajes fraudulentos.

Otras variantes de mensajes en un sólo envío.

Páginas falsificadas

Para robar información personal de los usuarios, los estafadores crean páginas html phishing cuyo diseño copia en parte o en su totalidad el sitio oficial de la compañía. Si la víctima de los estafadores ingresa en esta página su información personal (datos bancarios, logins y contraseñas), esta cae sin demora en manos de los delincuentes.

Para enmascarar los enlaces que conducen a las páginas phishing, los estafadores usan con frecuencia los populares servicios de reducción de enlaces. Además, la mayoría de los servicios ofrece a sus clientes la posibilidad de visualizar la estadística de uso del enlace corto, lo que les da a los estafadores información adicional, por ejemplo sobre la cantidad de clics hechos sobre el enlace, etc.

Las páginas phishing pueden ponerse en dominios registrados especialmente para este propósito, que por lo general son de corta vida, y también ubicarlos en dominios hackeados, cuyo dueño ni siquiera sospecha que sus sitios web se están usando para fines fraudulentos.

Analicemos un mensaje falsificado enviado en nombre de la compañía FedEx, en la que se pide al destinatario actualizar la información de su cuenta en el sitio. En el texto del mensaje el destinatario ve un enlace a la página oficial de la compañía, pero la dirección real adónde llegará el usuario no parece legítima y está ubicada en un servicio gratuito de reducción de enlaces. Esto se hace evidente si se pone el cursor sobre el enlace.

Al hacer clic en el enlace, el usuario llega a una página fraudulenta que finge ser el sitio oficial de FedEx, donde es necesario ingresar el login y la contraseña de su cuenta personal. En cuanto el usuario rellena los campos y pulsa el botón “Login”, la información ingresada se transmite a los estafadores, que así obtienen acceso a la cuenta personal de la víctima. Hay que mencionar que con frecuencia las pestañas del menú y los numerosos enlaces de la página phishing son inactivas, es decir que al pulsar el enlace, este no lleva a ninguna parte. šPero en algunos casos los phishers falsifican todos los enlaces en la página para que el usuario no dude de la legitimidad de la página phishing. Con frecuencia el diseño de la página sólo es parecido, y no idéntico a la página oficial. Si se presta atención a los detalles, se pueden notar algunas diferencias en el diseño de la página verdadera y la falsificada. Pero en la mayoría de los casos el usuario no presta atención a las pequeñas diferencias y los estafadores se aprovechan de esto para robarle su información.

Analicemos otro ejemplo de mensaje enviado en nombre de la compañía FedEx, esta vez con un enlace malicioso. En el mensaje se comunica que debido a la falta de información importante no se podrá realizar la entrega. Y que ahora, para verificar la identidad del usuario es necesario seguir el enlace señalado.

El enlace conduce a una página fraudulenta, donde se ofrece a la víctima potencial descargar un programa que supuestamente deberá verificar si el usuario es en realidad el destinatario del envío. Bajo la apariencia del programa, por supuesto, se esconde un programa malicioso, el famoso programa troyano Zeus, con cuya ayuda los estafadores no sólo obtienen acceso al equipo de la víctima, sino también a toda su información personal.

Vale decir que los estafadores no sólo pueden indicar la dirección del enlace phishing en el cuerpo del mensaje, sino también poner un adjunto en formato html, que es la página phishing destinada al robo de la información personal del usuario. šNo es característico que en los envíos fraudulentos en nombre de los servicios de entrega se usen adjuntos html como páginas phishing.

Mensajes fraudulentos en varios idiomas

Para aumentar el número de destinatarios y clientes los spammers están usando cada vez más idiomas. Aparte de los tradicionales inglés y alemán, hoy en día se pueden encontrar en el flujo de spam mensajes en hebreo, albanés y otros idiomas que hace unos años no se encontraban en los envíos masivos de publicidad y de mensajes fraudulentos. Así, entre las notificaciones falsificadas de los servicios internacionales de entrega se encuentran mensajes en, por ejemplo, italiano y holandés. Estos mensajes no tienen ninguna peculiaridad o diferencia de los escritos en inglés y alemán: para engañar a los usuarios los delincuentes recurren a los mismos trucos.

Por ejemplo, en una notificación falsificada sobre una entrega enviada en nombre de la compañía FedEx escrita en italiano, el usuario tenía que confirmar su identidad siguiendo un enlace fraudulento.

Un mensaje de otro envío masivo en italiano contenía un archivo malicioso con el programa troyano Zeus/Zbot, usado para robar datos personales. En el mensaje fraudulento se comunicaba que el perfil del usuario en el sitio de la compañía se había actualizado y que en el archivo había información más detallada.

En otra notificación falsificada escrita en holandés en nombre de la compañía TNT se decía que se había generado una nueva factura y su original estaba en el adjunto. En el archivo adjunto al mensaje estaba el fichero malicioso Backdoor.Win32.Andromeda, cuya instalación permite a los delincuentes controlar el equipo infectado sin que su usuario se dé cuenta.

Programas maliciosos en los mensajes fraudulentos

El spam es una de las formas más populares de difundir programas maliciosos e infectar ordenadores por Internet. Los delincuentes recurren a diferentes trucos para hacer que la víctima instale software malicioso en su equipo. En el tráfico de correo se pueden encontrar diferentes mensajes particulares, por ejemplo, invitaciones a bodas, ofertas de citas y otros mensajes similares. Pero entre los delincuentes informáticos la mayor popularidad les pertenece a las notificaciones falsificadas enviadas en nombre de compañías de renombre que prestan servicios en diferentes campos. Los spammers también usan los nombres de las compañías internacionales de entrega a domicilio para enviar spam malicioso.

Los programas maliciosos que se envían en las notificaciones falsificadas de los servicios de entrega se dividen en: š

1. Programas troyanos creados para realizar acciones sin el consentimiento de los usuarios, dirigidas a la destrucción, bloqueo, modificación o copia de información, interferencia en el trabajo de los ordenadores o redes informáticas. Entre los programas troyanos que se propagan vía spam están: Backdoor, Trojan-Downloader, Troyan-Downloader, Troyan-Proxy, Troyan-PSW, Troyan-Spy, Troyan-Banker y otros.
2. Gusanos, programas maliciosos que tienen la capacidad de reproducirse sin el consentimiento del usuario en los ordenadores o redes informáticas. Y las copias recibidas también tienen esta capacidad.

Qué peligro representan los programas nocivos:

1. Robo de logins y contraseñas de cuentas y gabinetes personales, como también de información financiera y de otros tipos que los delincuentes necesitan.
2. Organización de botnets para enviar spam, lanzar ataques DDoS y realizar otras acciones delictivas.
3. Los delincuentes pueden obtener el control sobre el equipo del usuario, para lanzar, borrar, instalar ficheros y programas.

Los programas maliciosos modernos tienen una gama bastante amplia de funciones que responden a los objetivos de los delincuentes. Además, algunos programas maliciosos pueden descargar otros programas maliciosos que tienen posibilidades adicionales, desde el robo de logins y contraseñas ingresadas en el navegador, hasta el control remoto del equipo.

En las notificaciones fraudulentas los objetos maliciosos pueden estar adjuntos en el mensaje o descargarse mediante enlaces indicados en el cuerpo del mensaje. El peligro consiste en que los programas maliciosos pueden ejecutarse e instalarse sin que el usuario se dé cuenta y sin que ejecute ninguna acción especial para instalarlos. Por lo general los ficheros maliciosos adjuntos en los mensajes fraudulentos están comprimidos con ZIP, con menor frecuencia con RAR o tienen la extensión ejecutable .exe.

Cómo reconocer un mensaje fraudulento

Mencionaremos una serie de señales por la cuales se puede determinar que el mensaje es fraudulento.

1. Dirección del remitente del mensaje. Si en la dirección electrónica del mensaje hay secuencias sin sentido de letras, palabras, cifras, dominios de terceros que no tienen nada que ver con las direcciones oficiales de la compañía, es señal segura de que son fraudulentos y hay que eliminarlos sin abrirlos.
2. Errores gramaticales y ortográficos. La violación del orden de las palabras, la incorrecta puntuación, los errores gramaticales y ortográficos también pueden ser señales de envíos fraudulentos.
3. Diseño gráfico. Los estafadores tratan de hacer que el mensaje sea lo más parecido posible a uno verdadero y toman en cuenta el estilo corporativo de la compañía, tratan de usar algunos de sus elementos, por ejemplo la gama de colores y el logotipo. Las inexactitudes y los errores evidentes en el diseño son unas de las señales de los mensajes falsificados.
4. Contenido del mensaje. Si en el texto del mensaje con diferentes pretextos se pide al usuario que presente o confirme su información personal, que descargue un fichero o que siga un enlace, y al mismo tiempo se le comunica que es urgente o que existen sanciones si no se sigue las instrucciones del mensaje, todo esto son señales de que el mensaje es fraudulento.
5. Enlaces con diferentes direcciones. Si la dirección indicada en el cuerpo del mensaje y la dirección real del enlace adonde se lleva al usuario no coinciden, estamos ante un mensaje fraudulento. Si usted está viendo su correo en un navegador, por lo general el enlace real se puede ver en el rincón inferior derecho, y si está usando un programa de correo, el enlace real puede visualizarse en una ventana emergente al poner el cursor sobre el enlace. Merece la pena destacar que el enlace fraudulento puede estar ligado a una frase en el texto del mensaje.
6. Archivos comprimidos adjuntos. Por lo general los delincuentes informáticos esconden ficheros ejecutables maliciosos con formato EXE dentro de los archivos ZIP y RAR. Por eso no hay que abrir estos archivos y aún menos ejecutar los ficheros que contienen.
7. Ausencia de contactos. En los mensajes legítimos siempre se indican los contactos para ponerse en contacto con la empresa, ya sean en general o de los empleados que enviaron el mensaje.
8. Falta de saludo. En el saludo no se usa el nombre y apellido del destinatario, sino que se utilizan frases comunes (cliente, etc.).