Oleada de ransomware suplantando a Correos

Fecha de publicación: 
16/03/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Potencialmente cualquier empleado que reciba correo postal, y en particular quienes gestionen envíos de paquetes y cartas postales.

Descripción: 

Se ha detectado una campaña de phishing que suplanta la identidad de la empresa Correos con el objetivo de engañar a los usuarios mediante ingeniería social, para que estos hagan clic en un enlace que les redirige a una web maliciosa que suplanta la identidad de la compañía y tratar de provocar que los usuarios descarguen e instalen un virus que cifrará los archivos del ordenador.

Solución: 

Como en cualquier otro caso de ransomware, se recomienda desconfiar de todos los mensajes recibidos por correo electrónico en el que se la coaccione a hacer una acción ante una posible sanción.

Como pautas generales, para evitar ser víctima de fraudes de tipo ransomware:

  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Precaución al seguir enlaces en correos, en SMS, mensajes en Whatsapp o en redes sociales, aunque sean de contactos conocidos.
  • Precaución al descargar ficheros adjuntos de correos, en SMS, mensajes en Whatsapp o en redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
  • Asegúrate que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de Administrador

Además, es importante asegurarnos que estamos realizando periódicamente copias de seguridad. Guárdalas en un lugar diferente al origen de los datos y verifica puntualmente que se realizan correctamente. Por ejemplo, restaurando una copia de seguridad y verificando los datos restaurados. De esta forma, en el caso de vernos afectados, podemos recuperar la actividad de nuestra empresa de forma ágil.

Además, para prevenir y reforzar estos consejos, es importante realizar acciones de formación y concienciación en ciberseguridad entre los empleados.

Si necesita soporte o asistencia, INCIBE ofrece servicios de Respuesta y Soporte ante incidentes de seguridad.

Detalle: 

Un trabajador recibe, en su correo electrónico, un mensaje que parece ser una comunicación oficial de Correos, con un texto que informa al usuario que le puede reclamar dinero por el retraso de un envío certificado, para lo cual se le pide hacer click en un botón con el texto «Descargar información sobre su envío» incluido en el propio texto del correo electrónico. El asunto llama su atención y abre el mensaje.

El mensaje tiene el siguiente aspecto:

Mensaje suplantanado a correos

La falta de precisión del lenguaje del mensaje puede hacernos sospechar.

Además si nos fijamos bien, al hacer clic en el enlace, en nuestro navegador aparece la dirección de la web fraudulenta que nada tiene que ver con la de Correos (www.correos.es).

Si el usuario es engañado por el beneficio económico de la reclamación y pincha en el enlace, es dirigido a una página en la que le indican que descargue un fichero.

Mensaje de suplantación de correos: enlace a contenido malicioso

Esta es la imagen cuando descarga el fichero.

Mensaje de suplantación a correos: Imagen al descargar el fichero con contenido malicioso

Si ejecuta este último fichero, se descargará un malware del tipo ransomware / cryptolocker que cifrará los datos de su ordenador, mostrando un mensaje en la pantalla del ordenador pidiendo un rescate para recuperar los datos.

Mensaje de suplantación a correos: Ejecución de malware solicitando un recate