Estafa por correo electrónico de actualización de estado de DHL Express Commerce

Investigadores de ciberseguridad han analizado los correos electrónicos de actualización de estado de DHL Express Commerce y han determinado que se trata de mensajes de phishing diseñados para robar las credenciales de inicio de sesión de los usuarios. Estos correos se hacen pasar por notificaciones legítimas de DHL Express Commerce e informan falsamente a los destinatarios que se les han compartido tres documentos.

Los mensajes suelen tener como asunto "DHL Express Commerce" y están cuidadosamente diseñados para parecerse a notificaciones de una plataforma de intercambio de documentos. Para aumentar su credibilidad, los correos electrónicos muestran una línea que simula ser un archivo adjunto llamado "DHL Express Invoice Payment.docx". Sin embargo, no se trata de un archivo adjunto real, sino de un elemento interactivo creado para engañar a los destinatarios e incitarlos a interactuar con el correo electrónico.

Según el contenido del mensaje, el sistema ha detectado tres documentos que se han compartido con el destinatario y a los que supuestamente se puede acceder de inmediato.

La trampa del portal de documentos falsos

La estafa consiste en convencer a los destinatarios de que hagan clic en el archivo adjunto falso o en el botón "Ver documentos". Independientemente de la opción seleccionada, ambas redirigen a los usuarios al mismo sitio fraudulento.

La página enlazada está alojada en la plataforma Firebase Storage de Google. Si bien Firebase es un servicio legítimo de alojamiento en la nube, los ciberdelincuentes suelen abusar de plataformas de buena reputación para alojar contenido malicioso, ya que estos dominios a menudo parecen confiables y pueden eludir los filtros de seguridad básicos.

Una vez que los visitantes acceden a la página, se les muestra un formulario de inicio de sesión falso de DHL Express que solicita una dirección de correo electrónico y una contraseña. A pesar de su apariencia, la página no tiene ninguna relación con DHL. Cualquier dato que se ingrese en el formulario se transmite directamente a los estafadores que llevan a cabo la campaña.

¿Por qué las credenciales robadas son tan valiosas?

Las credenciales de acceso son uno de los activos más codiciados por los ciberdelincuentes. Muchas personas reutilizan la misma contraseña en varias cuentas en línea, lo que hace que un único conjunto de credenciales comprometidas sea extremadamente valioso.

Cuando los atacantes obtienen información de inicio de sesión mediante campañas de phishing, suelen probar esas credenciales en diversos servicios, como plataformas de correo electrónico, sitios de compras, cuentas de almacenamiento en la nube y redes sociales. El acceso no autorizado a una cuenta puede resultar en compras no autorizadas, robo de identidad, usurpación de cuentas, pérdidas financieras y la pérdida de acceso a servicios en línea importantes.

Por este motivo, los destinatarios nunca deben introducir sus credenciales en sitios web a los que accedan a través de correos electrónicos no solicitados sin antes verificar la legitimidad del mensaje y del destino.

Señales de alerta que revelan la estafa

Varios indicadores ponen de manifiesto la naturaleza fraudulenta de estos correos electrónicos:

• El mensaje afirma que se han compartido documentos de forma inesperada y anima a la gente a interactuar de inmediato.
• El archivo que se muestra, 'DHL Express Invoice Payment.docx', es simplemente un enlace para hacer clic y no un archivo adjunto real.
• Ambos elementos en los que se puede hacer clic conducen a la misma página de inicio de sesión en lugar de a un servicio legítimo para compartir documentos.
• El sitio web solicita credenciales de correo electrónico a pesar de no tener ninguna conexión legítima con DHL.
• La comunicación intenta aprovechar la reputación de una marca de confianza para ganarse la confianza del destinatario.

La posible conexión con el malware

Las campañas de phishing no siempre se limitan al robo de credenciales. En algunos casos, correos electrónicos no deseados similares también se utilizan para distribuir malware.

Los ciberdelincuentes suelen disfrazar archivos maliciosos como facturas, notificaciones de envío, confirmaciones de pago, contratos u otros documentos comerciales habituales. Estos archivos dañinos pueden distribuirse como programas ejecutables, archivos comprimidos, documentos PDF, scripts o archivos de Microsoft Office que contienen código malicioso incrustado.

Las infecciones suelen requerir algún tipo de interacción del usuario para que se active el malware. Abrir un archivo adjunto malicioso, habilitar macros, ejecutar un archivo descargado o hacer clic en un enlace engañoso pueden desencadenar el proceso de infección. Tener precaución al abrir correos electrónicos no solicitados reduce significativamente la probabilidad de infección.

Cómo responder si recibe el correo electrónico

Si recibe este correo electrónico, lo más seguro es evitar interactuar con cualquier enlace, botón o archivo adjunto que contenga. Elimine el mensaje de inmediato. Quienes ya hayan ingresado sus credenciales a través de la página de inicio de sesión falsa deben cambiar las contraseñas afectadas sin demora y actualizar cualquier otra cuenta que utilice las mismas credenciales. Habilitar la autenticación multifactor siempre que sea posible proporciona una capa adicional de protección contra el acceso no autorizado.

Evaluación final

El correo electrónico de actualización de estado de DHL Express Commerce es una estafa de phishing diseñada para robar credenciales de inicio de sesión suplantando la identidad de DHL Express Commerce. Tanto el archivo adjunto falso como el botón "Ver documentos" redirigen a los usuarios a la misma página de inicio de sesión fraudulenta alojada en un servicio en la nube comprometido. Dado que esta campaña no tiene ninguna relación con DHL ni con ninguna organización legítima, los destinatarios deben considerar estos mensajes como maliciosos, evitar cualquier interacción con su contenido y eliminarlos de su bandeja de entrada de inmediato.