A menudo recibimos alertas sobre posibles estafas, ya sea sobre multas falsas, mensajes del banco, supuestos SMS de la DGT y otros organismos… La mayoría de la gente es consciente de que se trata de simples timos, pero aún hay muchas personas que no conocen del todo las posibles estafas a las que pueden ser sometidos.

Según explica Josep Albors, director de investigación y concienciación de ESET España, los ciberdelincuentes están enviando correos electrónicos en catalán que simulan proceder del Servei Català de Trànsit y notifican una presunta infracción de tráfico pendiente de pago, apelando al impacto económico y la urgencia para que la víctima actúe sin comprobar la veracidad del mensaje.

Aviso de multa para propagar un troyano bancario

Los correos electrónicos donde se avisa de algo que puede suponernos un impacto económico, ya sea en forma de facturas, pagos de impuestos o, como en este caso, el pago de una multa de tráfico son ganchos que siguen siendo muy usados por los ciberdelincuentes, quienes saben perfectamente que los usuarios son bastante receptivos a este tipo de temáticas.

Entre todas estas campañas de phishing, estamos acostumbrados a ver como la suplantación de Fuerzas y Cuerpos de Seguridad del Estado es algo habitual. Lo que no es tan habitual es la suplantación de una policía autonómica y que, además, este mensaje venga en la lengua cooficial de esa comunidad autónoma, tal y como vemos a continuación.

Los ciberdelincuentes están enviando correos electrónicos en catalán que simulan proceder del Servei Català de Trànsit / ESET

En este mensaje, los delincuentes se hacen pasar por los Mossos d’Esquadra y el Servei Català de Transit para comunicar una supuesta multa de tráfico. Aunque la redacción en catalán es correcta y, a primera vista, parece que el remitente es legítimo, con realizar una comprobación más a fondo podemos detectar que estamos ante una campaña de suplantación de identidad.

Para empezar, el dominio del remitente no se corresponde con la agencia suplantada. Tampoco se corresponde la matricula que aparece con el formato usado en España y por supuesto, no debemos olvidar que las comunicaciones de las agencias de tráfico en lo referente a multas nunca se realizan por email.

El dominio del remitente no se corresponde con la agencia suplantada / ESET

Esta web, donde se produce la descarga de la supuesta multa, está alojada en un servicio legítimo que está siendo usado por ciberdelincuentes desde hace meses. Desde aquí se indica que la factura no puede ser mostrada y que es necesario que se descargue el fichero al sistema de la víctima.

Como cabría esperar, este fichero no es lo que dice ser, siendo en realidad un fichero ISO que actúa como contenedor de más archivos, y en su interior podemos ver cómo se guarda un fichero Visual Basic Script, responsable de iniciar la cadena de infección, además de otros archivos como facturas fraudulentas en formato PDF.

Como cabría esperar, este fichero no es lo que dice ser, siendo en realidad un fichero ISO que actúa como contenedor de más archivos / ESET

Cuando se ejecuta el fichero VBS se muestra una ventana con un botón para abrir el archivo PDF con la supuesta factura. En las pruebas realizadas no se ha abierto ningún archivo PDF, mostrándose en su lugar un aviso de error e invitando al usuario a que reinicie el sistema.

Cuando se ejecuta el fichero VBS se muestra una ventana con un botón para abrir el archivo PDF con la supuesta factura / ESET

Sin embargo, dentro de una de las carpetas podemos observar varios ficheros PDF que representan supuestas facturas, aunque ninguna relacionada con multas de tráfico.

Dentro de una de las carpetas podemos observar varios ficheros PDF / ESET

Por ese motivo es importante recordar la importancia de revisar a fondo los correos, buscando aquellas pistas que nos permitan descubrir el engaño, acudir a la fuente legítima en caso de dudas en lugar de pulsar sobre enlaces o abrir ficheros adjuntos y contar con soluciones de seguridad que bloqueen las amenazas, incluso antes de que puedan llegar a nuestra bandeja de entrada.