Inicio / Content / Boletín de seguridad de Protege tu Empresa 30-03-2022

Boletín de seguridad de Protege tu Empresa 30-03-2022

Siguen en circulación SMS fraudulentos que suplantan a Correos y otras empresas de paquetería

Fecha de publicación: 
30/03/2022
Importancia: 
3 - Media
Recursos afectados: 

Cualquier empleado, autónomo o empresa que haya recibido el mensaje suplantando a empresas de paquetería y haya seguido las indicaciones que este recoge hasta llegar a facilitar datos bancarios.

Descripción: 

Se detectan SMS que suplantan (smishing) a empresas de mensajería y transporte, como Correos y Correos Express. El objetivo es que el receptor acceda a un enlace que le redirige a una página fraudulenta de aspecto similar a la legítima para que pague unos gastos o tasas de un supuesto envío de un paquete.

[ACTUALIZACIÓN 27/04/2022]: Detectados SMS que suplantan a SEUR, indicando que un supuesto paquete está listo para la entrega, pendiente del pago de las tasas de aduana.

Además, siguen activos los smishing suplantando a Correos ya detallados previamente en este mismo aviso.

[ACTUALIZACIÓN 19/04/2022]: Detectados SMS que suplantan a DHL, indicando que un supuesto paquete está listo para la entrega, previo pago de las tasas de aduana.

Solución: 

Si esperas un paquete y has recibido un SMS en nombre de la empresa de Correos, Correos Express o cualquier otra, indicando que no te lo han podido entregar porque no se han pagado las tasas de aduanas (u otro tipo de gastos) y que debes acceder a un enlace parta pagarlos, no lo hagas, se trata de un fraude.

Si ya has accedido al enlace y has dado tus datos para pagar los gastos, siguiendo sus indicaciones, procede de la siguiente forma:

  1. Contacta lo antes posible con tu entidad bancaria para informarles de lo sucedido y cancelar posibles transacciones que se hayan podido efectuar.
  2. Si has facilitado también datos personales, como el número de teléfono o el correo, permanece atento y revisa para comprobar que no seas objeto de otro tipo de fraude por esos medios o que no te suplanten.
  3. Por último, siempre puedes denunciar esta situación ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).

Evita ser víctima de smishing siguiendo nuestras recomendaciones:

  • No abras mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos directamente. No contestes en ningún caso a estos SMS.
  • Ten precaución al seguir enlaces, aunque sean de contactos conocidos. Debemos comprobar el enlace siempre, situándonos sobre el para ver si es la de la entidad legítima o usando herramientas para expandirla si está acortada.
  • Si el SMS tiene ficheros adjuntos, será mejor no descargarlos sin comprobar que conocemos a quien los envía y confirmar que nos lo ha enviado. Si los hemos descargado, debemos utilizar herramientas como VirusTotal antes de ejecutarlos.
  • Revisa la página web y sigue estas buenas prácticas y los consejos para navegar seguro (parte I y parte II). Comprueba la URL para ver si se trata de la entidad que esperas y si tienen certificado web. Si no es así, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
  • En caso de duda, consulta directamente con la entidad implicada a través de sus canales oficiales.

Además, para prevenir y reforzar estos consejos es importante realizar acciones de concienciación en ciberseguridad entre los empleados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de Twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017, y los canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario web.

Detalle: 

Se siguen detectando SMS que suplantan a empresas como Correos y Correos Express en los que, con la excusa de abonar unos gastos de envío, se insta al receptor del SMS a hacer clic en un enlace que redirige a una página falsa, en la que se le solicitan datos de la tarjeta de crédito para hacer frente a la supuesta tasa o pago que debe abonar.

SMS suplantando a Correos

Algunos de los ejemplos detectados hasta el momento son:

La página fraudulenta tiene un diseño muy parecido al de la entidad suplantada, Correos o Correos Express en estos casos, por lo que no hace sospechar al receptor de encontrarse ante una web fraudulenta. La forma de comprobarlo es revisando la URL de la web, que no se trata del dominio legítimo, sino de uno que trata de simular el mismo utilizando nombre de la empresa en la URL.

Caso de Correos:

Página smishing correos

Si el usuario pulsa sobre el botón de ‘PAGAR Y CONTINUAR’, se le solicita a continuación sus datos bancarios (número de tarjeta, fecha de caducidad, CCV, e incluso el PIN del cajero), con el fin de hacer uso de ellos, para cometer un fraude financiero.

Página suplantando a correos smishing

Después de introducir tus datos te pedirá un supuesto código que se enviará a tu móvil y acto seguido el pin de tu tarjeta. Después de todo esto te llevará a una página de error, así los datos pasarán a manos de los ciberdelincuentes.

Caso de Correos Express:

Página smishing Correos Express

Después de introducir tus datos te pedirá un supuesto código que se enviará a tu móvil, acto seguido el pin de tu tarjeta y los datos pasarán a manos de los ciberdelincuentes.

[ACTUALIZACIÓN 27/04/2022]: Se ha detectado una oleada de SMS que suplanta a SEUR, indicando que un supuesto paquete está listo para entregarse una vez se abone la cantidad de 1,99€ en concepto de aduanas, a través de un enlace facilitado en el propio mensaje.

Si se accede al enlace, se llega a una página muy similar a la legítima de SEUR. Esta web fraudulenta contiene un formulario para captar datos personales y bancarios de los usuarios, con el fin de utilizarlos para cometer fraudes financieros.

Falsa web SEUR

[ACTUALIZACIÓN 19/04/2022]: Se ha detectado una oleada de SMS que suplanta a DHL, indicando que un supuesto paquete está listo para la entrega, previo pago de las tasas de aduana a través de un enlace.

Si se accede al enlace, se llega a una página muy similar a la legítima de DHL. La web fraudulenta contiene un formulario, cuyo objetivo es conseguir datos personales y bancarios de los usuarios, con el fin de hacer uso de ellos para cometer fraudes financieros.

Falsa web DHL

Línea de ayuda en ciberseguridad 017

Referencias: 

Actualiza tu gestor de contenidos Joomla!

Fecha de publicación: 
30/03/2022
Importancia: 
4 - Alta
Recursos afectados: 
  • desde 2.5.0 hasta 3.10.6;
  • desde 4.0.0 hasta 4.1.0.

 [Actualización 31/03/2022]: Las versiones 3.10.7 y 4.1.1 también se encuentran afectadas.

Descripción: 

Joomla! ha publicado actualizaciones de seguridad de su gestor de contenidos que soluciona varias vulnerabilidades que afectan a su núcleo (core) en las versiones anteriores a la 3.10.7 y 4.1.1.

Solución: 

Si tienes instalada una versión de las indicadas en el apartado de recursos afectados, actualiza a Joomla! 4.1.1 o a Joomla! 3.10.7 que podrás obtener en la web oficial de Joomla! o desde el panel de administración de tu gestor de contenidos. Si tu web la mantiene un proveedor externo, asegúrate de que aplica estas actualizaciones de seguridad.

[Actualización 31/03/2022]: Joomla ha publicado dos nuevas versiones a las cuales recomienda actualizar Joomla! 4.1.2 y Joomla! 3.10.8. Al parecer, las versiones publicadas ayer no mitigaban de forma correcta todas las vulnerabilidades.

Sigue estos pasos:

En primer lugar, accede a la consola de administración. Por lo general, la ruta es http://MIDOMINIO/”alias_backend” (generalmente «administrator»).Imagen que muestra el inicio de sesión de Joomla!

Una vez hayas accedido, el propio gestor te mostrará un aviso, en un mensaje situado en la parte superior de la pantalla, con la existencia de una nueva versión de Joomla!, en este caso, la 4.1.1 o la 3.10.7.

advertencia Joomla!

Al hacer clic sobre el botón «Actualizar ahora», pasarás a otra pantalla donde has de pulsar el botón «Instalar la actualización».

Esto iniciará el proceso de instalación:

Imagen que muestra la barra de progreso de actualización.

Una vez haya concluido dicho proceso, se mostrará el siguiente mensaje: «Su sitio ha sido actualizado. Ahora su versión de Joomla! es la 4.1.1» (o la 3.10.7). En este momento, el gestor de contenidos ya está actualizado a la última versión disponible.

imagen que indica que el sitio web ha sido actualizado

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue esta checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detalle: 

Joomla Logo Actualizacion

Joomla! ha publicado una actualización del gestor de contenidos que corrige varias vulnerabilidades:  

  • La extracción de un paquete tar específicamente diseñado, podría permitir realizar una escritura de archivos fuera de la ruta prevista.
  • La carga de un archivo con una longitud excesiva, provoca un error que hace que aparezca en la pantalla la ruta del código fuente de la aplicación web.
  • Una fila de usuario que no estaba vinculada a un mecanismo de autenticación específico podría, en circunstancias muy especiales, permitir la apropiación de una cuenta.
  • Una falta de validación de entrada, podría permitir un ataque XSS (Cross-site scripting) usando com_fields.
  • El filtrado inadecuado de los ID seleccionados en una solicitud, podría dar lugar a una inyección SQL.
  • Una sanitización inadecuada de los datos proporcionados por el usuario, podría permitir a un atacante remoto crear un enlace que lleve a un sitio web de confianza, sin embargo, cuando se hace clic, redirige a la víctima a un dominio arbitrario.
  • En determinadas circunstancias, JInput contamina las entradas específicas del método con datos $_REQUEST, por lo que un atacante podría eludir las restricciones de seguridad.
  • Un filtrado inadecuado, podría permitir realizar un ataque XSS debido a las vulnerabilidades existentes en varios componentes.
  • Una sanitización insuficiente de los datos proporcionados por el usuario al procesar imágenes SVG en com_media, podría permitir a un atacante remoto cargar una imagen SVG maliciosa y ejecutar código HTML y un script arbitrario en el navegador del usuario.

Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos de INCIBE CERT.

Línea de ayuda en ciberseguridad 017