Nos llega el aviso de una nueva campaña de phishing (recordemos: e-mails que suplantan a empresas o instituciones legítimas con el objetivo de robar nuestros datos personales o credenciales bancarias). En este caso, utilizan el típico anzuelo de la entrega del paquete pendiente, que ya hemos visto en otros casos similares recientes.
Lo que cambia en este caso es que no se trata de ninguna empresa real, sino de 'Express', una especie de mix de dos que sí existen: 'Rapid Express' (del que sacan medio nombre y medio logo) y 'FedEx' (del que sacan la gama de colores):
El e-mail que recibe la víctima proporciona una supuesta foto del paquete y un 'código de seguimiento' que podemos usar para "rastrearlo y recibirlo". A continuación se nos invita a 'programar su entrega' clicando en un botón. Una vez lo hacemos, se nos dirige a una página web dentro del dominio 'fedex.astrazenega.com/' que nos redirige, a su vez, a otra en el dominio 'mintingred.com/'.
La primera 'pantalla' con que nos encontramos en bien sencilla:
La segunda, es exactamente igual al e-mail que recibimos en primera instancia (sólo falta el enlace de desuscribir):
De modo que, cuando hacemos clic de nuevo en 'Programe su entrega', la web nos llevará a una pantalla como la siguiente, en la que se nos informa que debemos pagar 1,95€ en concepto de 'derechos de aduana' porque nuestro paquete está 'detenido en el centro de distribución'.
De nuevo —qué pesados— tendremos que hacer clic en 'Programar entrega ahora'. En ese momento, la nueva pantalla te preguntará cómo quieres recibir el pedido, en casa o recogiéndolo tú mismo.
"Bueno, pues solucionado", pensarás. "Elijo 'recogerlo yo mismo' y así me aseguro de que no haya ninguna trampa". Bien pensado, pero —¡sorpresa!— si escoges esa opción pasarán de ti y asumirán que has elegido la entrega a domicilio.
Y llegamos a lo importante
Cuando hayas elegido entre ambas opciones, te avisarán del 'tiempo estimado de entrega' y de los costos de envío (1,95 €). Clicamos en 'Ingrese la información de entrega' y ahí pasaremos a un formulario en el que nos pedirán todo tipo de datos personales (nombre, apellidos, dirección, teléfono, e-mail)… y, a continuación, los de nuestra tarjeta.
El aspecto de esta pantalla puede variar cada vez que entremos (compara la imagen de encima con la siguiente), pues en cada ocasión nos dirige a distintos dominios. Si te fijas, también cambiará el coste de los 'gastos de envío', que aumentarán desde los 1,95 € anunciados antes hasta los 2 o los 2,99. Te estafan incluso cuando ya te están estafando: son incansables, esta gente.
En estos casos, los consejos de siempre:
- Las empresas de paquetería no funcionan así, mandando esta clase de cosas por e-mail, así que en estos casos descarta siempre estos e-mails.
- Lo primero que tienes que comprobar (además de que la empresa exista, claro), es que el dominio web al que enlaza sea el oficial. Si no es así, descarta.
- Si ya has caído en la trampa, avisa de inmediato a tu banco y denuncia antes las fuerzas de seguridad del Estado lo ocurrido.
Imagen | The Bag N Box Man LTD