Supuesta herencia utilizada para propagar scam personalizado

Supuesta herencia utilizada para propagar scam personalizado

Con tal de obtener el mayor rédito económico posible, los cibercriminales innovan constantemente para crear nuevos temas de Ingeniería Social o modificar aquellos existentes para adaptarlos a un grupo objetivo de personas y así lograr cometer el delito financiero. Dentro de las variadas amenazas informáticas que los ciberdelincuentes emplean para dicho fin, se encuentran todos

Con tal de obtener el mayor rédito económico posible, los cibercriminales innovan constantemente para crear nuevos temas de Ingeniería Social o modificar aquellos existentes para adaptarlos a un grupo objetivo de personas y así lograr cometer el delito financiero. Dentro de las variadas amenazas informáticas que los ciberdelincuentes emplean para dicho fin, se encuentran todos

Con tal de obtener el mayor rédito económico posible, los cibercriminales innovan constantemente para crear nuevos temas de Ingeniería Social o modificar aquellos existentes para adaptarlos a un grupo objetivo de personas y así lograr cometer el delito financiero. Dentro de las variadas amenazas informáticas que los ciberdelincuentes emplean para dicho fin, se encuentran todos los tipos de códigos maliciosos, phishing y fraudes electrónicos o scam. A diferencia del phishing, en donde el objetivo que se busca es que la víctima ingrese su información bancaria producto de la manipulación y el uso de frases amedrentadoras, en el scam, el atacante le solicita a la persona directamente una suma de dinero. Por lo general, se ofrecen increíbles ofertas laborales y de dinero, o se apela a la caridad de los usuarios haciéndoles creer que el aporte irá en beneficio de países o individuos más pobres.

En esta oportunidad, los cibercriminales han decidido optar nuevamente por la modalidad de scam, al utilizar el tema de una supuesta herencia de USD $12.750.000 que podría cobrar el usuario debido al fallecimiento de un señor. La falsa noticia llega en un correo electrónico procedente de un estudio de abogados inexistentes en donde se afirma que se adjunta una propuesta en formato PDF que habría sido enviada al domicilio de la persona hace casi un mes, pero que al no tener respuesta, se le está enviando nuevamente, aunque esta vez en formato digital. Finalmente, se insta a que el usuario abra el documento en cuestión.

Correo falso que recibe el usuario

Leyendo el texto del documento, se pueden apreciar faltas de ortografía y redacción típicas que cometen los creadores de estos fraudes. Por otro lado, también se utiliza la conocida técnica de ofrecerle una suculenta suma de dinero al usuario a cambio de que este deposite una cifra considerablemente menor, o en este caso, simplemente responder el correo para poder continuar con la estafa. Además, se puede observar que el supuesto abogado ofrece la posibilidad de contacto telefónico, pero, no ofrece ningún número para hacerlo. Hasta aquí, todo relativamente similar a cualquier otro caso de scam.

Falso documento PDF

Sin embargo, lo que nos llamó la atención aparte de que todo el texto esté escrito en español y que la excusa empleada sobre una posible herencia debido a una mera coincidencia de apellido suena muy extraño, es que toda la información que aparece dentro del rectángulo rojo que puede observarse en la captura anterior, es completamente real y precisa de acuerdo a lo que relató el usuario que nos reportó este scam. Sin lugar a dudas, este  fraude electrónico que utiliza datos fidedignos de la posible víctima como forma de personalizar el ataque, puede significarle al ciberdelincuente una menor cantidad de víctimas diferentes, pero por otro lado, su probabilidad de éxito con una persona en particular aumenta.

Frente a la duda de este usuario sobre cómo obtuvieron los cibercriminales esta información, es posible que la misma haya sido obtenida mediante un código malicioso que capturó esos datos y los envió a un servidor remoto, o bien que alguna base de datos en donde él esté registrado haya sido comprometida. Por lo mismo, siempre se debe ser cuidadoso con no ingresar la información personal en sitios de dudosa reputación. Con respecto a este caso y otros similares, sugerimos reportar la dirección de correo electrónico del remitente al proveedor del servicio de e-mail correspondiente. En forma complementaria, también recomendamos la lectura de nuestra Guía para identificar correos falsos más la implementación de una solución de seguridad con capacidad de detección proactiva. De este modo, se evita engrosar la lista de víctimas del cibercrimen.

André Goujon
Especialista de Awareness & Research

Discusión