La Oficina de Seguridad del Internauta (INCIBE) ha emitido una alerta sobre una nueva campaña de phishing que está afectando a los usuarios. En esta estafa, los afectados reciben un correo electrónico en el que se les informa que han sido seleccionados para recibir un artículo de forma gratuita simplemente por responder a una encuesta. Sin embargo, detrás de esta oferta aparentemente atractiva, los ciberdelincuentes solo buscan obtener datos personales y bancarios de las víctimas.
En este caso, se ha detectado una campaña que suplanta los correos electrónicos de Leroy Merlin. Los mensajes enviados por los estafadores prometen un producto gratuito, como un juego de herramientas Dexter, a cambio de completar una encuesta. Para poder recibir el artículo prometido, los usuarios deben abonar los gastos de envío. Lo que realmente buscan los delincuentes es recolectar información sensible, como datos de contacto y números de tarjeta bancaria, para suplantar identidades o realizar cargos fraudulentos.
Los correos fraudulentos incluyen asuntos llamativos como: “¡Tu experiencia con Leroy Merlin podría hacerte ganar un juego de herramientas Dexter!”, “¡Completa nuestra encuesta de Leroy Merlin y desbloquea un juego de herramientas Dexter!” o “¡Cuéntanos lo que piensas y gana un juego de herramientas Dexter en Leroy Merlin!”.
En estos correos, los usuarios son redirigidos a una página web falsa donde deben completar la encuesta y proporcionar sus datos bancarios para pagar los gastos de envío. Los correos suelen incluir imágenes destacando la palabra "GRATIS" para captar rápidamente la atención de los destinatarios.
Si se pulsa sobre la imagen, se puede observar que la URL a la que se redirecciona no se corresponde con el dominio legítimo de Leroy Merlin. En la página que se abre en el navegador, se insta al usuario a pulsar en el botón “OK” para obtener el regalo. En la siguiente pantalla se apremia al usuario a realizar la encuesta, ya que finaliza la promoción ese mismo día. Para continuar con el proceso debe seleccionar “EMPEZAR ENCUESTA”.
Una vez se ha finalizado la encuesta y el usuario ha hecho sus valoraciones, se detalla el producto que puede obtener como regalo, informando de que supuestamente solo queda una unidad de este producto, a coste cero y que solo debe pagar los gastos de envío. Para continuar con el proceso debe pulsar sobre el botón de “RECLAMAR”.
En la siguiente pantalla se solicitan diferentes datos personales, como pueden ser nombre, apellido, domicilio, código postal, etc., y se informa de la cantidad que debe pagar por los gastos de envío, en este caso, 2 euros. Seguidamente aparece un formulario donde debe introducir diferentes datos sobre su tarjeta de crédito, como, por ejemplo, nombre del Titular de la tarjeta, número de la tarjeta, expira y CVV. Una vez se hayan rellenado estos campos, debe pulsar sobre “PAGAR”.
En esta última pantalla del proceso, al finalizar el envío de los datos anteriores, se informa al usuario de que supuestamente hubo un error al procesar el pago. Para entonces, los ciberdelincuentes ya estarán en posesión de nuestros datos.
Si has recibido uno de estos correos, pero no has accedido al enlace, INCIBE recomienda reportarlo a tu proveedor de correo electrónico y eliminar el mensaje de tu bandeja de entrada. Esto ayudará a evitar que otros usuarios caigan en el mismo fraude. Además, es aconsejable bloquear al remitente para prevenir riesgos futuros.
Si ya has accedido al enlace y proporcionado tus datos personales o bancarios, es crucial tomar medidas inmediatas. Primero, contacta con tu entidad bancaria para proteger tu cuenta y tomar las medidas necesarias. También debes revisar regularmente los movimientos de tu cuenta y cancelar cualquier transacción sospechosa lo antes posible. Además, guarda todas las pruebas, como correos electrónicos y capturas de pantalla, para poder presentar una denuncia si es necesario. Utilizar herramientas como el egosurfing también puede ayudarte a verificar si tus datos personales han sido publicados sin tu consentimiento en Internet.
Si tienes dudas sobre la autenticidad de un correo de Leroy Merlin, contacta con ellos a través de su servicio de atención al cliente o en sus canales oficiales como su cuenta de X (anteriormente Twitter). En caso de ser víctima de este fraude, puedes denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado, proporcionando toda la información reunida.
