Los casos de correos falsos que se apoyan en la Ingeniería Social para tratar de persuadir a las víctimas con el objetivo de robarles alguna información o su dinero son ya bastante conocidas, a continuación presentamos dos casos que recibimos recientemente en nuestro laboratorio.
El primero de los correos, se trata de una carta dirigida supuestamente por Coca-Cola, en la que anuncia que el usuario ha sido el ganador de un jugoso premio. El correo tiene adjunto un archivo de texto, que después de analizar para descartar que estuviera infectado con algún tipo de código malicioso nos dimos cuenta que contiene las instrucciones para reclamar el supuesto premio.
Como se puede ver, el archivo trae algunos códigos que dicen ser las referencias y archivos para reclamar el premio. Además le solicita que envíe sus datos personales a una dirección de correo electrónico. Y como ya los mostramos en la Crónica de una estafa real por e-mail, después de enviar este tipo de información el atacante pide más información y al final siempre termina pidiendo alguna suma de dinero.
El otro caso que queremos compartir tiene que ver con un correo que ofrece compartir una herencia con quien responda el correo electrónico. Quizá uno de los casos similares más famosos es la estafa nigeriana (419). En este caso se recibe un correo electrónico de alguien que dice trabajar en una entidad financiera en Londres y que es el encargado de manejar unos dineros de un millonario fallecido en un accidente. Vale la pena hacer notar, que la dirección de correo electrónico desde la cual llega este mensaje utilizan el dominio de una institución que nada tiene que ver con el contenido del correo.
La historia que utilizan en el correo electrónico es verídica, pues el accidente y la fecha que cuentan en el correo son verídicos. Resulta interesante, como en el mensaje queda claramente establecido que se trata de una operación que no es legal lo cual debería ser una señal de alerta más para que no se siga adelante respondiendo el mensaje. Además es curioso hacer notar como el estafador aclara ser una persona caritativa pues piensa compatir el 10% del total de la transacción con entidades de caridad.
Buscando un poco más de información en Internet sobre esta estafa, se encuenta que exactamente el mismo mensaje ha sido utilizado en varios idiomas. Lo cual indicaría el porqué de la mala traducción al español. La versión en portugués se puede ver que también viene de una dirección de correo electrónico asociada a la misma institución del caso de la versión en Español.
Los alemanes tampoco se salvan de esta estafa. Si bien no conozco mucho del idioma alemán, en la siguiente captura vemos como se hace referencia a los mismos personajes, lugares y fechas.
Y por supuesto, la versión en inglés también existe, que por la fecha en que fue publicada nos deja ver que se trata de un engaño que lleva varios meses dando vueltas por la red.
Estos intentos de engaño nos muestran que si los usuarios no son cuidadosos con la forma en que manejan su información en la red, a pesar de tener herramientas de seguridad puede llegar a no ser suficiente, pues los ataques de Ingeniería Social lo que buscan es ganarse la confianza de los usuarios para lograr su objetivo. La invitación es entonces para ser prudentes al momento de recibir correos dudosos, teniendo presente que muchas veces buscando un poco en Internet se puede encontrar con que realmente se trata de algún intento de estafa.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
