Caso real: fraude a través de correo electrónico

Publicado el 25/01/2016, por INCIBE
Caso real: fraude a través de correo electrónico

«¡El primer correo de la mañana! vamos a ver de qué se trata» eran una empresa localizada al sur de Inglaterra que se encargaba de hacer reservas para los viajes de sus clientes.

Aquella mañana era José Luis el que estaba atendiendo detrás del mostrador, y cuando leyó el correo hasta se alegró. Para el hotel se trataba de una reserva jugosa: de 5 habitaciones y hasta 10 personas, algo que no se recibe todos los días.

La sonrisa se le quitó de la cara cuando descubrió que ese mismo día tenían la visita de un equipo de balonmano y les quedaban pocas habitaciones. Habría que ponerlos en diferentes pisos o recolocar a algún jugador del equipo de balonmano.

Ante casos como este prefería siempre preguntarle al director. Así que reenvió el email al director preguntándole cómo proceder. Y continuó atendiendo a los huéspedes que hacían check-out ese día.

Un rato después sonó el teléfono. Era el director:

-	José, este correo que me has mandado… Hay que llamar a la policía. 


-	¿Cómo? ¿Por qué?


-	Es un intento de fraude. 


-	¿Un intento de fraude? Pero si no es como esos correos ilegibles que se reciben a veces… 


-	Ya, pero ¿has investigado un poco su procedencia? 


-	No… 


-	Mira, la próxima vez que recibas un correo solicitando una reserva de este tipo, tienes que hacer lo siguiente ¿Tienes el ordenador delante? Abre el correo.


José Luis abrió el correo:

correo fraudulento

 
-	Primero, es necesario comprobar si la empresa que aparece en la primera línea del correo existe. Simplemente buscando eso de “no-se-que Offshore Ltd” en Internet y ya verás que no aparece por ningún lado. 


-	Ya veo… 


-	Por otra parte y para asegurarnos, busca la persona que nos envía este correo (Fabiola Ashleigh en este caso) para ver si tiene perfil en algún tipo de red social. Como ves, tampoco aparece. Esa señora no aparece por ningún sitio.  


-	Pues es un nombre bastante creíble.  


-	Puede ocurrir que por coincidencia o suplantación esa persona sí que exista. Lógicamente si nos escribe John Smith, alguno habrá por la red. En esos casos hay que ser aún más cuidadoso. Si esto ocurriera también podemos buscar el asunto o el cuerpo del mensaje en Google. A veces aparecen en páginas web sobre fraude y en ese caso lo eliminamos al instante.  
-	OK. ¿Y con esto sería suficiente?. 
 

-	A ver, José, lo que queremos es obtener cualquier tipo de información que nos demuestre que el mensaje es fraudulento, o bien que esta persona existe y es quien dice ser. Si no lo encontramos ya podemos sospechar.   Es que son muchos años ya de experiencia y he visto de todo, así que rápidamente me he olido el timo. Anda, llama a la policía, diles que tenemos un intento de estafa por correo electrónico y que te digan con quien debemos contactar.  


-	Muy bien, jefe, muchas gracias, así lo haré.

 

 

 

Y no fue ese el único correo electrónico de ese estilo que José Luis recibió ese día. Unas horas más tarde ¡otro correo electrónico similar! esta vez procedente de un tal Richard Henderson que quería reservar 3 habitaciones durante 7 días:

correo fraudulento

 

 

José Luis que ya estaba a punto de irse para casa, le explicó a su recambio, Natalia, los pasos que tenía que dar.

Lo cierto es que el correo electrónico parecía muy real, pero en este caso, la empresa desde la que “supuestamente” se mandaba el correo, el Royal Bank of Scotland, no tenía nada que ver con la ordenación de sacerdotes de Macedonia… Cantaba a la legua, era de sentido común.

Desde ese día el director decidió dar a todos los empleados del hotel unos talleres para la detección de este tipo de fraudes y también de concienciación en ciberseguridad.

¿Qué ha ocurrido?

El correo electrónico es un medio muy frecuente para que gente sin escrúpulos intente engañarnos casi de cualquier manera.

Nos intentan convencer que han ganado la lotería, que alguien quiere compartir su fortuna con nosotros, que tenemos un paquete que recoger, que tenemos una factura urgente... o como en este caso, recibimos un pedido muy jugoso. Es decir, los timos de toda la vida adaptados a las nuevas tecnologías.

Una persona localizada en cualquier lugar del mundo, nos ha mandado un correo modificado (o no) el remitente por uno del que nos podamos fiar. Su objetivo es que te creas la veracidad del correo, porque, una vez que haya obtenido tu confianza, el siguiente paso (instalarte malware, pedirte tus datos, acceder a tu cuenta bancaria), es mucho más simple.

El objetivo es casi siempre económico de forma directa o indirecta. O bien nos solicitan que les mandemos algo de dinero o bien que abramos el fichero adjunto para infectar nuestros sistemas (y robarnos las credenciales las tarjetas de los clientes o las credenciales de acceso al banco) o cualquier otra técnica engañosa.

En este caso, muy probablemente, el siguiente paso hubiera sido mandarnos un documento de pago con un malware que infectara los equipos del hotel y les enviara los números de las tarjetas de los clientes. También suelen utilizarlo para blanquear dinero. Se hace el pago, luego lo cancelan y les piden la devolución, pero a otra cuenta…. Eso o cualquier otra cosa que puedan obtener de los ordenadores del hotel y puedan vender en el mercado negro. ¡Es un negocio muy jugoso!

¿Cómo puedo detectar esos correos fraudulentos?

Hay una serie de pistas que podemos seguir:

  • Los correos suelen tener fallos ortográficos y gramaticales
  • En ocasiones llegan con asuntos muy genéricos por ejemplo, ’Hello Sir, Madam’ o que nada tienen que ver con el cuerpo del mensaje por ejemplo, ’Dear Beloved’.
  • Suelen usar mails genéricos que al ser buscados en Google aparecen en páginas especializadas en detección de fraudes por correo electrónico.
  • El correo no va dirigido a una dirección en concreto.
  • A veces, la página web de la “empresa” que lo envía es detectado con página fraudulenta por los sistemas antivirus.
  • Si buscamos información en Internet sobre la persona que “manda” el correo no aparece por ningún lado.
  • Suelen incitar a qué «hagas algo»: te piden que abras un fichero adjunto, hagas clic en un enlace, hagas un ingreso en una cuenta, etc.

Si se cumplen varias de estas pistas, debemos, cuando menos, sospechar. Además muchas veces a otros usuarios que han intentado (o consiguieron) defraudar publican información con los textos de los correos, nombre de la empresa, etc.

El problema de este tipo de correo electrónico además del fraude que podrían ocasionar son los trastornos de pérdidas de tiempo y carga administrativas que conllevan para el empleado.

¿Qué hacer si nos sucede esto?

En caso de que sospechemos que estamos siendo víctimas de un intento de fraude, hay que denunciarlo, tal y como informamos en nuestros servicios de respuesta y soporte.

También no debemos de responder nunca a este tipo de correos puesto que los ciberdelincuentes cuando mandan sus correos no saben si los recibe alguien. Al responder les estamos dando pistas y aunque no piquemos, lo volverán a intentar con otro intento de fraude posiblemente más avanzado.

Por tanto, cuando detectemos este tipo de correos y avisemos a las autoridades, lo mejor que se puede hacer es eliminarlos. De esta manera evitaremos que otra persona que revise el correo del hotel pique en el engaño por error.

¿Y cómo podemos evitar que esto nos ocurra?

La mejor manera de no recibir SPAM por correo electrónico es NO hacer pública nuestra dirección de correo.

Un establecimiento hotelero debe mantener disponible siempre algún método de contacto online y lo más cómodo es el correo electrónico, pero se recomienda el uso de formularios web que nos permitan mantenernos en contacto con nuestros clientes. Además es recomendable seguir este decálogo de medidas de seguridad en el correo electrónico.

Para la detección de este tipo de fraude podemos seguir los pasos que le explicaron a José en el hotel:

  1. Comprobar si la empresa que aparentemente envía el correo existe.
  2. Comprobar si la persona que envía el correo existe en la empresa en la que dice trabajar.
  3. Visitar la página web de la “empresa” desde la que aparentemente se envía el correo. Si el antivirus informa de algún problema, desconfía.
  4. Buscar el correo en Google a ver si aparece en páginas web especializadas en fraudes en correo electrónico.
  5. Comprueba la ortografía, a veces llegan con errores ortográficos y gramaticales propios de una traducción mediante alguna herramienta online.

Cierre

En este caso, el establecimiento hotelero detectó por sus propios medios, siguiendo los pasos antes descritos, que se trataba de un intento de fraude y avisó a las autoridades. Siguieron los pasos correctos y además aprendieron a evitar ser víctimas de fraude.

Todo ello gracias a unos simples pasos que no llevan más de 3 minutos. Con un poco de precaución este mundo sería mucho más #ciberseguro.