
Factura electrónica pendiente
Fraude por Email sobre facturas electrónicas pendientes
Caso: FACTURA ELECTRONICA PENDIENTE - [ id 353393568 ] Emisión de Factura Electrónica
El email proviene de una identidad ambigua: Financiero <[email protected]> Lo que no es para nada ambiguo es el dominio del que procede el email, que pretende confundir al destinatario que pase la vista demasiado deprisa o de forma negligente y en realidad crea que el aviso procede de alguna administración gubernamental española (gob.es).
Existe una versión mexicana de este mismo intento de email scam, consulta el caso de la factura pendiente SAT Mexico.
El mensaje en sí apenas tiene formato mencionable y en los últimos meses hemos detectado que la hora de recepción del mensaje está dejando de ser una fuente de sospecha: lo que solía ser un envío de madrugada ahora pasa a ser casi por norma general en horario comercial o casi comercial, lo que aporta al estafador un punto a su favor.
Dirección de email del Remitente
Burdo intento de pasar por agencia gubernamental española
Motivo del aviso
Se presupone que se ha hecho un pedido, algo que debería conocerse con exactitud y no causar ni la más mínima duda como consumidores responsables.
Faltas de ortografía y erratas
Una de las señales típicas en la mayoría de estafas por email son las faltas ortográficas, palabras en otros idiomas o lo que se adivina como traducciones de muy baja calidad. Es de suponer que los estafadores han intentado localizar el contenido del email según rango de destino.
Contenido Literal del correo electrónico
Emisión de Factura Electrónica
----------------------------------------
Estimado (a) cliente
Se emitió una Factura Electrónica para su pedido número 8573505 realizada el 06/07/2022 a las 04:59:30
Factura Eletrónica
Elija a continuación la mejor manera de consultar su factura
- Ver en formato MSI
- Ver en formato XML
06/07/2022 06:53:30
Los enlaces hacia las dos supuestos formatos de factura electrónica llevan a la siguiente dirección URL, que ni siquiera se ha molestado en registrar un nombre de dominio para disfrazar un poco mejor el intento de fraude: http://20.205.34.8/
NO SIGAS EL ENLACE - IP Tóxica, riesgo de ataque o robo de datos.
Recomendación:
Denunciar y Eliminar el mensaje.
El país escogido como objetivo del engaño vía spam de la factura electrónica pendiente es España.
En la versión para Mexico el peligro en cambio viene de un fichero adjunto PDF, que por supuesto podría ser un ejecutable disfrazado.
La dirección IP pertenece al rango de la subred de Microsoft como en otros casos que hemos visto desde el Proyecto SafeTIC, concretamente AS8075 Microsoft Corporation* lo que nos hace pensar en su plataforma Azure.
*ASNumber: 8068 - 8075
ASName: MICROSOFT-CORP-MSN-AS-BLOCK
ASHandle: AS8068
RegDate: 1997-03-31
Updated: 2013-09-04
Ref: https://rdap.arin.net/registry/autnum/8068
OrgName: Microsoft Corporation
OrgId: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US
RegDate: 1998-07-10
Updated: 2022-03-28
Comment: To report suspected security issues specific to traffic emanating from Microsoft online services, including the distribution of malicious content or other illicit or illegal material through a Microsoft online service, please submit reports to:
Comment: * https://cert.microsoft.com.
Comment:
Comment: For SPAM and other abuse issues, such as Microsoft Accounts, please contact:
Comment: * [email protected].
Comment:
Comment: To report security vulnerabilities in Microsoft products and services, please contact:
Comment: * [email protected].
Comment:
Comment: For legal and law enforcement-related requests, please contact:
Comment: * [email protected]
Comment:
Comment: For routing, peering or DNS issues, please
Comment: contact:
Comment: * [email protected]
Ref: https://rdap.arin.net/registry/entity/MSFT
OrgAbuseHandle: MAC74-ARIN
OrgAbuseName: Microsoft Abuse Contact
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: [email protected]
OrgAbuseRef: https://rdap.arin.net/registry/entity/MAC74-ARIN
OrgTechHandle: IPHOS5-ARIN
OrgTechName: IPHostmaster, IPHostmaster
OrgTechPhone: +1-425-538-6637
OrgTechEmail: [email protected]
OrgTechRef: https://rdap.arin.net/registry/entity/IPHOS5-ARIN
Variantes del scam de la factura electrónica pendiente

Literal de la variante Factura Electronica Pendiente
Factura Electronica Pendiente - id - (835540)
factura <[email protected]>
9de3ada5318844aca0ec9f7d4da000f8.pdf
Emisión de Factura Electrónica
----------------------------------------
Estimado (a) cliente
Se emitió una Factura Electrónica para su pedido número 8573505 realizada el 26/07/2022 a las 04:59:30
Factura Eletrónica
Elija a continuación la mejor manera de consultar su factura
Emisión de Factura Electrónica adjunta