Se ha detectado una campaña de suplantación del periódico El País, concretamente a través de un artículo, en el que se publicitan inversiones de criptomonedas falsas utilizando supuestos testimonios de personajes famosos. A este artículo se llega a través de enlaces fraudulentos que se reciben en el buzón de correo electrónico. Estos correos pueden proceder de contactos conocidos.

Recursos afectados

Toda persona que haya recibido un correo electrónico con un enlace y características similares al que se ha mencionado o haya accedido a la web falsa.

Solución

En caso de que hayas recibido un correo electrónico, aunque sea desde un remitente conocido, con un enlace de las características mencionadas anteriormente, pero no hayas introducido tus datos en ningún formulario de la página, simplemente marca el correo como spam. Además, puedes reportar el correo, adjuntando evidencias, como capturas del correo electrónico recibido o de la web falsa para que otras personas no caigan en este fraude.

Por el contrario, si has introducido tus datos en los formularios de la página y confirmado la cuenta a través de un correo recibido en tu cuenta de correo:

  • Reporta a las Fuerzas y Cuerpos de Seguridad del Estado adjuntando todas las evidencias posibles.
  • Actualiza las credenciales de tu correo electrónico, utiliza una contraseña robusta.
  • En las próximas semanas realiza búsquedas en Internet con información sobre ti mismo, práctica conocida como  egosurfing, para comprobar que esta no haya sido expuesta sin tu consentimiento y recurre al Derecho al olvido si la encuentras.
  • En caso de que hayas enviado involuntariamente correos con el enlace malicioso, avisa a tus contactos de lo ocurrido para que no siga expandiéndose el fraude.
  • Si tienes dudas sobre qué más acciones realizar, contacta con la Oficina de Seguridad del Internauta (OSI) de INICBE para asesoramiento en ciberseguridad.
  • En caso de haber introducido tu teléfono móvil, revisa en los próximos meses que no se hagan cargos no autorizados a tu factura telefónica.

Detalles

Se ha detectado una campaña de suplantación del periódico El País con un artículo falso. Este articulo falso, cuenta experiencias de famosos que han conseguido mucho dinero gracias a una inversión en criptomonedas y, además, se muestran referencias a noticias de otros periódicos, como El Mundo, ABC y otras fuentes.

El fraude comienza cuando el usuario recibe un correo electrónico, el cual, posiblemente sea de un contacto conocido. Este correo contiene únicamente un enlace a la noticia falsa y se envía sin asunto.

Los buzones de correo desde donde se envía el phishing provienen de registros de usuarios que han caído previamente en el fraude y han facilitado sus datos.

A continuación, se mostrará en detalle el proceso y características de este fraude:

Ejemplos del correo electrónico.

Se muestra un correo sin asunto en el cual hay un enlace al artículo falso
Se muestra un correo sin asunto en el cual hay un enlace al artículo falso
Se muestra un correo sin asunto en el cual hay un enlace al artículo falso

Si se pincha en el enlace del correo, redirige a la web supuestamente de El País.

Se muestra la supuesta web del perioridico

Al pulsar en cualquier sección de la web, siempre redirige a la misma página, la cual contiene un formulario de inscripción, pero no todos los botones de la web funcionan. Por ejemplo, el desplegable a la izquierda de “El País” (3 puntos o 3 rayas) no despliega información, por lo que se trata de una simple imagen, un indicativo de ser una página web falsa.

Al entrar en la noticia falsa sobre la inversión, hay un pequeño formulario para inscribirse, en el cual se solicitan datos personales, como el nombre, el apellido, el correo electrónico y el número de teléfono.

Se muestra la web fraudulenta de las inversiones falsa de criptomonedas y un formulario en el que solicita, correo, nombre y número de teléfono

Una vez completado el formulario, redirige a una tercera página, la cual, pide restablecer la contraseña del correo electrónico.

Se muestra una web donde se solicita el correo electrónico para recuperar la contraseña

Si consultamos nuestra bandeja, vemos que nos ha llegado un correo de la misma entidad, dándonos la bienvenida al nuevo servicio al que nos hemos suscrito habiendo rellenado el formulario anterior.

Se muestra un correo donde se le da la bienvenida al usuario a la página web de las criptomonedas

En este correo se muestran las credenciales que hemos introducido y nos pide que activemos la cuenta.

Se muestra un correo donde aparecen las creedenciales del usuario y un botón para activar la cuenta

Una vez activada, esta empezará a reenviar correos a través de nuestra cuenta suplantando nuestra identidad y propagando la noticia falsa, y con ella el fraude.

Fuente: OSI (https://www.osi.es/es)