No descargues nada de este email de Iberdrola: es la vuelta del troyano Grandoreiro

Desafortunadamente, la ciberdelincuencia se hace cada vez más fuerte en el terreno digital debido al empleo de prácticas fraudulentas. Un nuevo intento de estafa está circulando como la pólvora por las cuentas de correo electrónico de los españoles. El INCIBE (Instituto Nacional de Ciberseguridad) ya está alertando a todos los usuarios de lo sucedido y todo parece indicar que el temido malware Grandoreiro está de vuelta. ¿Su misión? Extraer datos bancarios.

Una nueva campaña de phishing ha dado la voz de alarma durante las últimas horas. Los internautas podrían estar expuestos a uno de los troyanos más peligrosos. Pero gracias a la intervención de los organismos de ciberseguridad, se ha podido detectar una ciberamenaza que no para de crecer en España. Ahora ha regresado para tomar el control de la información personal de todos aquellos que caigan en sus redes. La buena noticia es que ya se conoce el método para interceptarla.

Un correo malicioso de Iberdrola

En esta ocasión, la empresa multinacional de servicios eléctricos, Iberdrola, ha sido víctima de suplantación. Los malhechores han utilizado su identidad para elaborar un plan perverso que acabe con la reputación de todo aquel que pique el anzuelo. Tanto si lo has recibido como si no, te contamos qué debes tener en cuenta para evitar que este temible virus acabe inyectándose en tu dispositivo.

¿Cómo actúan?

Según indica el INCIBE en su blog oficial de protección a la ciudadanía, se ha localizado el envío de correos electrónicos masivos con distribución del malware conocido como Zbot o Grandoreiro. Se trata de un troyano bancario procedente de Sudamérica que se ha extendido a otras regiones, como España. Lleva en activo desde 2015 y ya se ha llevado por delante miles de afectados. Su modus operandi es el siguiente:

Envío del correo al usuario con contenido de una URL falsa o archivo malicioso.
Capacidad de convencimiento para pinchar sobre el contenido del fichero.
El usuario descarga el archivo corrupto.
Se pincha sobre el ejecutable .exe.
Comienza la expansión del troyano para la recolección de datos bancarios.

El truco para identificar la estafa

En la descripción de la notificación se puede averiguar si se trata de un engaño. Tal y como se ha podido comprobar, se suplanta a Iberdrola con el mensaje que informa al consumidor de consultar y descargar su factura de electricidad. Supuestamente, se trata de un enlace que redirige automáticamente a la sección de Área Cliente. Sin embargo, al pulsar sobre el botón se descarga un archivo .iso que contiene el troyano.

Para aumentar su veracidad, en el mensaje viene adjunto un resumen del gasto mensual, la dirección de correo electrónico de la víctima y un número de contrato ficticio. Al mismo tiempo, se genera mayor pánico al visualizar una cifra totalmente desorbitada, lo que incita a pulsar sobre el enlace para saber qué ha podido ocurrir. En concreto, se establece un baremo que va desde los 424,81 euros hasta los 98.589,64 euros.

Asimismo, el dominio del correo electrónico no es el mismo que el de la compañía. Por consiguiente, en el saludo, siempre aparece la dirección del correo electrónico del usuario. Esto da lugar a que algo no va bien, puesto que las empresas oficiales suelen dirigirse a sus clientes con nombres y apellidos.

Tal y como puedes ver en el ejemplo de la siguiente imagen, se pueden identificar asuntos como estos, con sus respectivas faltas de ortografía:

Tu factura de electricidad de Iberdrola ya se puede ver.
Tu factura de electricidad de Iberdrola ya está disponible.
Consulta tu factura de electricidad de Iberdrola ahora!
Es hora de ver tu factura de electricidad.
Iberdrola: consulta tu factura de electricidad facilmente.
Verifica tu factura de electricidad de Iberdrola.

¿Qué hago si he recibido el correo electrónico?

Si has recibido el correo, lo primero que debes hacer es borrarlo inmediatamente y bloquear el remitente. El INCIBE indica que también puedes reportarlo en el buzón de incidentes para que la entidad tenga constancia de más pruebas del suceso. Ahora bien, esta situación es solo para los que no han descargado el archivo corrupto. Pero también hay que abordar aquellas circunstancias en las que se pulse sobre él.

Protocolo de Actuación ante el Phishing de Iberdrola

Situación	Acción Inmediata	Contacto Clave
Ha recibido el correo (pero no ha hecho clic)	1. No responder. 2. Marcar como spam. 3. Borrar permanentemente. 4. Bloquear remitente.	Reportar en el buzón de incidentes de INCIBE (017)
Ha descargado el archivo (pero no lo ha ejecutado)	1. Borrar el archivo descargado de forma segura. 2. Vaciar la papelera de reciclaje.	Realizar un análisis completo con su antivirus
Ha ejecutado el archivo	1. Desconectar el dispositivo de Internet inmediatamente (WiFi y cable). 2. Realizar un análisis completo con un antivirus de confianza. 3. Cambiar TODAS las contraseñas (especialmente bancarias) desde un dispositivo seguro. 4. Considerar un formateo del sistema.	Contactar con su entidad bancaria para alertar y monitorizar movimientos.
Detecta una transacción fraudulenta	1. Notificar inmediatamente a su banco para bloquear tarjetas/cuentas. 2. Recopilar todas las pruebas (capturas, correos). 3. Presentar una denuncia.	Policía Nacional (091) o Guardia Civil (062)

¿Y si he pulsado sobre el enlace?

Aquí es cuando tienes que poner en marcha una serie de medidas cautelares de forma inminente. Estos son los pasos que aconsejan llevar a cabo los profesionales del sector:

Desconecta la señal WiFi de tus dispositivos para aislarlos de la red de tu hogar y el malware no pueda extenderse.
Haz un análisis completo con tu antivirus y, en caso de que encuentre el problema, plantéate restaurar tu PC de fábrica.
Recopila todas las capturas de pantalla e información que puedas para poner una denuncia en la oficina de policía más cercana.
Comprueba siempre la autenticidad de los correos que recibes con tu compañía de suministros.

Fuente: INCIBE | adslzone