Crónica de una estafa real por e-mail

Ya en nuestro blog hemos escrito sobre varias estafas que utilizan supuestas herencias para propagar scam o la ya clásica estafa nigeriana, en general son muchos los viejos trucos que utilizan Ingeniería Social para tratar de obtener algún tipo de información personal o financiera de un usuario desprevenido. En este caso vamos a compartir un seguimiento que hicimos de una estafa para determinar cuál era su alcance:

Después de recibir un archivo en formato PDF, y descartar que se tratara de un exploit pdf que pudiera infectar nuestra máquina, enviamos un correo a quien figuraba como contacto en el archivo. Cómo primer dato curioso, vale resaltar que quien dice firmar la carta es homónimo de uno de los personajes de la conocida serie de televisión 24. Más allá de este detalle, es muy importante hacer notar la cantidad de incoherencias y errores ortográficos en el documento, lo cual es una clara señal de alerta para desconfiar de la información contenida en la misma. Además, se puede observar algunas contradicciones con respecto a la cantidad de días que tiene el banco para liberar los fondos, primero cita 2 y, un párrafo después, 3 días hábiles.

Después de entablar una comunicación con esta persona, recibimos un correo bastante complicado en su lectura y comprensión, podría deberse al uso de algún traductor automático, en el que trataba de explicar en qué consistía la operación para obtener el dinero:

En este punto aparece otra señal de alerta importante para el usuario: la supuesta operación se trata de un fraude en el cual harían pasar a la víctima por el único pariente vivo de un millonario. Ya en este punto el supuesto negocio estaba bastante enredado, y al seguir adelante con el contacto nos envía un correo electrónico con un formulario que deberíamos llenar y enviar al contacto del banco donde se encontraba depositado el supuesto dinero.

Hasta este punto a pesar de haber intercambiado alguna información con el estafador, en un mismo día a través de correos electrónicos, no habíamos suministrado información muy sensible. Pero todo estaba por cambiar, al día siguiente después de enviar aquel correo electrónico al supuesto funcionario de la entidad financiera, recibimos nuevamente un archivo en formato PDF, el cual tampoco estaba infectado, solicitando información que ya empezaba a ser un poco más comprometedora.

¿Enviar copia del pasaporte o DNI? Un requerimiento que no deja de ser muy sospechoso, a pesar que es un requerimiento habitual en trámites finacieros, no es un documento que se solicite por este tipo de medios, y menos sin tener forma de hacer las comprobaciones de autenticidad necesarias. Cómo además nos pedían un estado de cuenta que no teníamos, contactamos nuevamente  a quien nos había llevado hasta este punto, quien muy “amablemente” (nótese la ironía) nos envía otro documento PDF con lo que aparentaba ser el estado de cuenta solicitado para terminar la operación.

Curiosamente dos minutos después de recibir este correo electrónico, llega a nuestra casilla de correo un nuevo mensaje del supuesto funcionario del banco solicitándonos además de la información que hace un momento nos llegó información adicional bastante sospechosa.

Ya en este punto los estafadores estaban solicitando además de copia del documento de identidad una copia de la tarjeta de crédito, información suficiente para llevar a cabo cualquier cantidad de fraudes.

Aunque parezca imposible esta historia, es algo real y para lo cual los usuarios deben estar atentos y ser muy cuidadosos con la información que comparten en la red, ya que es practicamente individualizar a los responsables de estas estafas. Nuestra labor es presentar cuáles son las metodologías utilizadas para que los usuarios sean conscientes de cómo pueden ser atacados. El conocimiento de las amenazas y la forma en que se pueden enfrentar es vital para garantizar la seguridad de la información, por esto recordamos nuestra Plataforma Educativa ESET en la cual contamos con cursos gratuitos de gran ayuda para cumplir con este objetivo.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Autor , ESET

  • Oswaldo

    Muy buena investigación. Felicidades a Camilo y a las personas involucradas que se tomaron el tiempo de comprobar y llegar al verdadero objetivo del estafador al final de la historia…….. tomar los datos de tu tarjeta de crédito con técnicas de ingeniería social

  • Pingback: Crónica de una estafa real por e-mail « G_donis()

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Crónica de una estafa real por e-mail | Lanzanet | Scoop.it()

  • [?]

    Que tonterias

    • Saludos, es cierto: es realmente una tontería el tipo de estafas que crean los delincuentes. Pero lo que no es trivial es la cantidad de víctimas que pueden llegar a conseguir con estas amenazas tan simples, por tanto es muy importante para todos estar enterados de las técnicas que utilizan pues por más simples que parezcan no dejan de ser peligrosas para el usuario.

      Cordialmente,

      H. Camilo Gutiérrez A,

  • De hecho las faltas de ortografía, gramática y redacción son a propósito.

    Se han hecho estudios del comportamiento de las víctimas y resulta ser que cuando está bien escrito, se pierde mucho tiempo inicialmente filtrando las víctimas fáciles de las difíciles.

    Cuando está TAN mal escrito, solo los más incautos (y más fáciles de atacar) caerán.

  • Raul Batista

    Muy buena la investiagación.

    Es siempre muy útil contar con este tipo de material para tener como referencia.

    Cuando uno trabaja en seguridad y/o la capacitación de personas en temas de seguridad, siempre es bueno poder citar investigaciones como esta.

  • Pingback: Crónica de una estafa real por e-mail. lopd&lssi « RsaN_blog()

Síguenos