El Instituto Nacional de Ciberseguridad (INCIBE) ha lanzado un nuevo aviso a la ciudadanía en el que da la voz de alarma sobre una nueva campaña de correos electrónicos fraudulentos (phishing) que suplantan la identidad de Leroy Merlin para engañar a los usuarios y robar su información personal y bancaria. Para ello, utilizan como cebo una supuesta iniciativa de la multinacional francesa, en la que se invita a usuarios, que presuntamente han sido previamente seleccionados, a completar una encuesta sobre su experiencia con la marca a cambio de conseguir artículos gratuitos.
"Con este fraude, los ciberdelincuentes lo que pretenden es transmitir que se puede obtener de manera fácil y gratuita un objeto que, en este caso, es un juego de herramientas, y así conseguir los datos personales y bancarios del usuario, ya que, para finalizar el proceso, debe hacer el pago de los gastos de envío", subraya Incibe en su aviso, clasificado como de alta importancia (nivel cuatro sobre cinco posibles) y en el que aporta unas capturas que ilustran las diferentes etapas de esta campaña.
Así es la nueva campaña de phishing que suplanta a Leroy Merlin
Los correos electrónicos de esta campaña de phishing utilizan diversos asuntos. Hasta ahora se han detectado al menos nueve distintos, aunque Incibe no descarta que pueda existir más a estos que lista:
- "¡Tu experiencia con Leroy Merlin podría hacerte ganar un juego de herramientas Dexter!"
- "Tenemos una sorpresa para los clientes de Leroy Merlin"
- "¡Completa nuestra encuesta de Leroy Merlin y desbloquea un juego de herramientas Dexter!"
- "¡Complete nuestra encuesta de Leroy Merlin y participe para ganar un juego de herramientas Dexter!"
- "¡Cuéntanos lo que piensas y gana un juego de herramientas Dexter en Leroy Merlin!"
- "Clientes de Leroy Merlin: ¡compartan sus opiniones y gane un juego de herramientas Dexter!"
- "Gane un juego de herramientas Dexter: ¡responda nuestra encuesta de Leroy Merlin hoy!"
- "Oportunidad exclusiva: ¡Gane un juego de herramientas Dexter de Leroy Merlin compartiendo sus pensamientos!"
- "Tenemos una sorpresa para los clientes de Leroy Merlin"
En el correo compartido por Incibe, se observa que el remitente figura como 'Ganador de Leroy Merlin', aunque su dirección no guarda ninguna relación con la compañía. "El contenido del correo es una imagen con un enlace, en la que se observa la palabra 'GRATIS' en grande, para conseguir atraer la atención del usuario de una manera rápida", advierte el Incibe.
Según prosigue explicando, si se pulsa sobre la imagen, se redirecciona a una web en la que se insta a los usuarios a pulsar en el botón 'OK' para obtener el regalo, aunque la URL de esta página no se corresponde con el dominio legítimo de Leroy Merlin.
Una vez allí, se anima al usuario a realizar la encuesta y aprovechar la "oportunidad única" de recibir un kit nuevo de herramientas de Dexter. Además, se le apremia haciéndole creer que la promoción termina ese mismo día.
Tras completar la encuesta, aparentemente inofensiva, emerge el pretexto con el que los ciberdelincuentes consiguen el objetivo que persiguen en esta campaña, el de recabar la información de sus víctimas. Y es que ahora es cuando se les solicita, como el último paso para conseguir su premio, valorado en 89,99 euros, en el caso de la caja de herramientas de Dexter, que proporcionen sus datos personales y bancarios haciéndose cargo de los gastos de envío, de un módico precio de dos euros.
"En esta última pantalla del proceso, al finalizar el envío de los datos anteriores, se informa al usuario de que supuestamente hubo un error al procesar el pago. Para entonces, los ciberdelincuentes ya estarán en posesión de nuestros datos", apunta el Incibe.
Comunicado de Leroy Merlin a 'Escudo Digital'
Este lunes, Leroy Merlin ha trasladado su agradecimiento a Escudo Digital por la difusión de esta campaña de phishing que suplanta la identidad de su marca, contra la que va a emprender acciones legales. Así nos lo ha transmitido a través de la red social X (antigua Twitter), dejando este comentario en el post que compartimos sobre esta noticia:
"@digitalescudo En relación a la difusión de la promoción que nos indicas, la compañía quiere manifestar que es totalmente ajena a esa información y que va a ejercer las medidas legales oportunas para denunciar esta acción. Muchas gracias por el aviso. Saludos".
Cómo actuar frente a esta campaña de phishing
En su aviso, el Incibe también explica que se debe hacer tanto si se es objetivo de estas campañas como si se ha caído en la trampa.
En el primer caso, aconseja bloquear al remitente, eliminar el correo de la bandeja de entrada "para prevenir posibles riesgos" y reportarlo a su buzón de incidentes.
Por otro lado, si se ha accedido al enlace y se han facilitado datos personales y/o bancarios, el Incibe recomienda seguir los siguientes pasos:
- Ponte en contacto con tu entidad bancaria para recibir soporte sobre posibles medidas para proteger la cuenta que has facilitado a los ciberdelincuentes. Además, realiza un seguimiento periódico de los movimientos de dicha cuenta para, en caso de que haya alguna transacción sospechosa, cancelarla lo antes posible.
- Reúne todas las evidencias posibles, como correos electrónicos y capturas de pantalla del proceso fraudulento.
- Realiza la práctica de egosurfing con regularidad para comprobar si tus datos personales han sido publicados o están siendo utilizados sin tu consentimiento en Internet.
- Contacta con la Línea de Ayuda en Ciberseguridad de INCIBE para recibir asesoramiento sobre el plan de actuación.
- Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado aportando todas las pruebas, previamente reunidas, para facilitar la investigación del fraude.
- Si tienes alguna duda sobre la autenticidad de una comunicación de Leroy Merlin, ponte en contactos con ellos a través de su apartado de atención al cliente o vía X(antigua Twitter).