Los diferentes problemas de seguridad sufridos por los equipos de PayPal han
provocado que los datos de sus usuarios en algún momento queden expuestos, de ahí que ahora estos
estén recibiendo un mensaje spam que utiliza como gancho una compra realizada
en la Apple Store.
La finalidad de esta campaña no es otra que la de el
robo de las credenciales de acceso a las cuentas del servicio de pagos,
aprovechando sobre todo que se acercan las fechas navideñas y que la ingeniería
social para estos temas está alcanzando su punto más álgido.
Aunque no se
conocen las cifras relacionadas con esta oleada de spam, todo parece indicar
que al menos el 80% de los usuarios con cuenta activa en el servicio han
recibido este mensaje, desconociendo el porcentaje de usuarios que han accedido
al sitio web falso dedicado a robar el usuario y la contraseña de acceso.
Como suele ser habitual, se utilizan temas importantes
para que el usuario se vea obligado a prestar atención al contenido y a
interactuar con los enlaces o los ficheros que se adjuntan en el cuerpo del
mensaje.
Una compra realizada en la Apple
Store sin ser autorizada
- En el cuerpo del mensaje se ve un documento con un formato muy similar al utilizado por PayPal. Teniendo en cuenta que el usuario no ha realizado esa compra, prestará mucha más atención a una parte del correo donde se muestra un texto que contiene un enlace hacia una página donde se permite la cancelación de la compra. Al acceder a dicho contenido el usuario es redirigido a un sitio web que a priori es de PayPal, siendo en realidad una página web falsa diseñada para robar las credenciales de acceso a la cuenta y algunos datos más.
- El envío de las credenciales pueden resultar fatales parar el usuario, ya que la cuenta del servicio de pagos podría ser robada sin que se percatase de ello. Sin embargo, todo esto queda anulado si esta posee activada la autenticación en dos pasos, ya que sin el código de verificación que se envía al iniciar sesión y que es necesario introducir para completar el proceso, los ciberdelincuentes no tienen ninguna opción.
- Para detectar que este mensaje es totalmente falso y aleatorio solo hay que fijarse que el usuario no es llamado por el nombre, sino que se utiliza un saludo genérico recurriendo a la dirección de correo electrónico.