Seguimiento del scam “doble” que suplanta a Microsoft y los bomberos

Hace algunos días, estuvimos analizando el caso de un scam “doble” que simula provenir de Microsoft y la Fundación Bill & Melinda Gates. En el correo se incluían dos PDF destinados a concretar fraudes distintos, por lo mismo, en este post se detallan los hallazgos encontrados en base al seguimiento de ambos casos.

Tal como se mencionó en la primera publicación, el archivo PDF “nuit du feu” le indica a la víctima que ha sido invitada a un banquete a realizarse en honor a los bomberos y la “Noche del fuego”. Para poder concretar el scam, los atacantes afirman que es necesario pagar 28 euros con el objetivo de reservar las entradas. En base al seguimiento realizado, se obtuvo la siguiente respuesta:

Correo electrónico sobre primer caso de scam

En el texto se informa que todo esto se trata de una estafa de Costa de Marfil, Tanzania y Túnez. Asimismo, se indica que el PDF recibido ha sido creado arbitrariamente a partir de la copia de un afiche genuino. Si se analiza la respuesta, surgen dos hipótesis que podrían aclarar qué sucedió:

  1. Los atacantes olvidaron modificar el correo de contacto que se incluyó en el afiche original, por lo tanto, el scam nunca funcionó.
  2. Los atacantes pudieron haber comprometido la cuenta de correo electrónico de la persona suplantada con el propósito de obtener rédito económico.

Independiente de lo que haya sucedido, se pudo comprobar empíricamente que dicho PDF es un fraude. Aunque no forma parte de la historia principal de la “lotería” ni tampoco del segundo documento, resulta extraño que los ciberdelincuentes hayan incluido este relato inconexo y en francés. Con respecto al seguimiento del segundo PDF “NOTICE LAUREAT(E), los cibercriminales mencionan que el premio de la lotería puede cobrarse de dos formas: primero, mediante un viaje a Costa de Marfil en donde el supuesto ganador debe retirar los 250.000 euros y cuyos gastos, son cubiertos por la “empresa”. También se indica que todo este procedimiento se mantenga en confidencialidad y que se coordine la fecha de llegada. Asimismo, el lugar de encuentro sería un club que contaría con la presencia de funcionarios de la compañía:

Correo electrónico que explica opción uno

La segunda opción que dan los atacantes es cobrar el premio mediante un cheque o transferencia bancaria. Aprovechan de mencionar que será necesario completar un documento legal titulado “Acto de beneficiario”. De forma mal redactada, los atacantes aseveran que es necesario pagar por el trámite:

Se menciona subrepticiamente sobre un cobro

Nuevamente se solicitan datos personales de la víctima, y esta vez, el DNI o número de pasaporte. Pese a que en esta ocasión todavía no se solicitan datos bancarios de forma directa, ya se deja entrever que en la segunda opción ofrecida se generará un cobro debido al supuesto trámite que se debe realizar para cobrar los 250.000 euros. Por otro lado, destaca que en estos correos  nunca se utilizó una dirección cuyo dominio pertenezca a la empresa suplantada, por lo tanto, este es un punto que debiese despertar la sospecha del usuario. Asimismo, los estafadores aseveran provenir de un “Gabinete de abogados” supuestamente certificado por el programa de “Lotería de Microsoft Windows”:

Supuesto gabinete de abogados

Posteriormente, los responsables de este fraude solicitan el dinero de forma directa utilizando el mismo pretexto, es decir, que se debe pagar el trámite relacionado al “Acta de Beneficiario”. De acuerdo al mensaje, la suma solicitada es de 519 euros ó 687 dólares y se detalla cada gasto como forma de legitimar el fraude. El total debe ser abonado a través de dos empresas de transferencia de dinero:

Correo que pide dinero por empresas de envío

Como se pudo observar a lo largo del análisis de este caso, los cibercriminales emplean historias sensacionales que buscan seducir a la potencial víctima. Asimismo, un scam cuyo origen probablemente sea Costa de Marfil, puede tener consecuencias a nivel global en caso que la potencial víctima otorgue la información necesaria. Además, en un principio los atacantes no solicitan dinero de forma directa sino subrepticia. Esta última característica diferencia un scam de otras amenazas informáticas como el phishing que solicitan datos bancarios. Finalmente, recomendamos leer la “Crónica de una estafa real por e-mail”, publicación que analiza otro caso de fraude electrónico.

André Goujon
Especialista de Awareness & Research

Autor , ESET

Síguenos