Cómo obtienen tu teléfono los estafadores que te envían SMS con phishing haciéndose pasar por Santander, Correos o Amazon

2021 está siendo (como otros) el año de las estafas de phishing por SMS. Flubot ha sido el mejor y más documentado ejemplo de esta primeros cinco meses del año, y ha tenido mucho que ver con hacerse pasar por compañías de transporte, como Correos, FedEx, MRW, DHL, etc.

Tras ello, desde hace algunas semanas han llegado distintas campañas en nombres de bancos que intentan lo mismo, esto es, conseguir datos de los usuarios para poder hacerse con su dinero más adelante. Lo comentamos hace unos días con un phishing de Caixabank y Santander, y ahora volvemos a verlo con los segundos en mensajes SMS que también relacionan con Amazon.

Veamos cómo se hacen con nuestros números de teléfono y qué casos están teniendo más incidencia estos días.

Cómo se hacen con nuestros números de teléfono

Es la pregunta que todo el mundo se hace cuando se recibe un SMS fraudulento. No se puede dar una respuesta clara para todos los casos, pero en 2021 han ocurrido cosas que pueden explicarlo.

En primer lugar, toca volver a hablar de Flubot. En marzo se estimaba que con este SMS de Fedex, DHL y otras mensajeras, los responsables lograron hacerse con 11 millones de números españoles, y probablemente serán muchos más a día de hoy. Es una base de datos de teléfonos muy grande (y con nombres en muchos casos) a la que poder empezar a atacar.

Y obtenerla para ellos fue tan sencillo como que las víctimas se instalaran las aplicaciones fraudulentas en Android y, sin saberlo, compartieran toda su lista de contactos, a la que además también se enviaba luego el SMS para que se lo instalaran y siguieran la cadena.

Otras posibilidades para hacerse con muchos números de teléfono son la brecha de Facebook, que dejó también 11 millones de números españoles al descubierto, y la brecha de The Phone House, que permitió a unos atacantes con Ransomware hacerse con más de 5,2 millones de registros y correos electrónicos, muchos de ellos asociados a números de teléfonos españoles. Estas dos bases de datos se obtienen fácilmente en la Deep Web.

Santander: estimado cliente se va a efectuar un cargo de Amazon...

El Santander está siendo el anzuelo que más vemos ser usado por parte de los actores maliciosos. Según las denuncias que hemos visto en los últimos días, uno de los esquemas es este:

SANTANDER Estimado cliente se va a efectuar un cargo de 207,07e de AMAZON para fraccionar o anular recibos [URL]

Como se puede observar, nada de comas donde tocan, dos puntos o símbolos como el del euro. Fallos que se repiten mucho en estos mensajes de phishing y que deben ayudarnos a evitar hacer clicks en sus enlaces y, sobre todo, cumplir con las exigencias de las webs de destino, ya sea instalar una aplicación o rellenar los datos de una web con aspecto similar a la del Santander. En el caso del enlace de la captura no podemos saber a qué lleva, porque ahora mismo el dominio ya no existe, probablemente debido a las denuncias.

La Policía Nacional también ha informado de otro esquema, uno en el que la víctima recibe un informe sobre la recepción de un reembolso, y se le insta a comprobarlo en su web. Lo lógico es comprobar con la aplicación legítima del Santander que sus usuarios tengan ya instalada, pero ya sabemos que el 'phishing' funciona mucho a base de meter prisa al usuario, que por miedo o alegría corre a ver de cuánto se trata ese cargo o reembolso.