Las estafas vía SMS (smishing) son relativamente fáciles de identificar para quienes tenemos cierta experiencia digital. Suelen tener faltas de ortografía, los mensajes son genéricos y la URL de la web es demasiado extraña. Son las clásicas señales que nos sirven de advertencia para evitar caer en estas estafas. El caso que está ocurriendo estos días con MRW, la empresa de paquetería, es considerablemente más complejo, porque no solo es un mensaje más cuidado, también incluye datos reales que en principio ningún atacante debería tener acceso.
La propia MRW ha informado que está sufriendo estos días una campaña para intentar suplantar su identidad. Decenas de usuarios han explicado en redes sociales que están recibiendo SMS haciéndose pasar por MRW donde se envía un localizador de envío y un enlace que redirige a una página falsa que intenta que paguemos unos supuestos gastos de envío del paquete enviado por MRW. Muchos no caerían en esta trampa, si no fuera porque en ese mensaje aparece tanto nuestro nombre, como el localizador de envío real y el nombre de la tienda donde hemos adquirido el producto.
SMS falsos, pero con datos reales
Ejemplo de SMS falso de MRW, con datos reales como el nombre, el número de seguimiento o el vendedor.
MRW explica que si hemos recibido un SMS indicando que debemos abonar unos gastos de envío, no lo hagamos. En concreto, esta estafa de SMS de MRW sigue el patrón siguiente:
Estimado/a [usuario], debe abonar los gastos del envío [XXX] de [XXX]. Puede hacerlo: [enlace fraudulento]
Actualmente la página falsa de 'envios-mrw.com' ya no está disponible, pero no se descarta que la campaña de SMS fake continúe con otra dirección similar. Esta página fraudulenta tiene un diseño muy parecido al de la original de MRW y tras mostrarnos datos de nuestro envío, nos deriva a una web de pagos donde añadir la tarjeta bancaria para hacer un supuesto pago de 0,99€ para los falsos gastos de envío.
Aquí un ejemplo de SMS. La URL no coincide con la de MRW. 👇 pic.twitter.com/8WB7Jbru5n
— MRW España (@mrw_es) December 27, 2021
En el pasado hemos hablado de estafas similares por SMS, como la de FedEx. Sin embargo, en este caso hay una importante diferencia: los atacantes se aprovechan de una filtración de datos para dar más credibilidad a su estafa.
Si el usuario entra en el enlace que recibe a través del SMS, se accederá a la web falsa de MRW pero donde quedan reflejados algunos datos correctos como el nombre, la localidad a la que se realiza el envío y el localizador o número de albarán real. Un dato que solo debería estar en manos de quien envía el producto.
Web falsa de MRW donde intentan engañarnos para insertar nuestros datos.
Por el momento no se han confirmado los detalles de la brecha de seguridad, pero desde MRW explican que están "intentando solucionarlo lo antes posible", evidenciando que se trata de un problema también por su lado y no únicamente un intento de phishing ajeno a la empresa de paquetería.
El INCIBE alerta de la alta peligrosidad
Desde el Instituto Nacional de Ciberseguridad (INCIBE) explican a Xataka que han sido alertados de este problema y han publicado hoy una notificación en su canal de avisos de seguridad donde catalogan la importancia de estafa de los SMS de MRW como "alta", con una puntuación de 4 sobre 5.
En los casos donde se han visto comprometidos datos personales, las empresas tienen la obligación de comunicar que ha habido una brecha de seguridad a la Agencia Española de Protección de Datos (AEPD).
Desde Xataka hemos consultado con la AEPD para conocer si han sido notificados por parte de MRW sobre esta posible brecha de seguridad. También hemos preguntado a MRW sobre este asunto. Por el momento tanto la organización de protección de datos como la empresa afectada no se han pronunciado.
Según recoge la legislación, las empresas disponen de 72 horas para informar a la AEPD de que ha habido una filtración de datos, de lo contrario se exponen a una sanción.
Desde INCIBE alertan que esta campaña puede también llegar a los usuarios por otras vías, como por ejemplo correos. La alerta habla de "empresas de paquetería", dejando la puerta abierta a que otras empresas se hayan visto afectadas. Algunos usuarios en redes sociales apuntan que también están utilizando el nombre de la empresa Sending Transportes para estafar.
Qué hacer si hemos sido víctimas de esta estafa
Si nos ha llegado un SMS de estas características y hemos caído en la estafa, dando nuestros datos de la tarjeta para realizar el supuesto pago, es importante que nuestro primer paso sea bloquear la tarjeta de crédito, contactando con la entidad bancaria y explicarles la situación.
En caso de haber recibido este mensaje pero no haber dado ningún tipo de dato personal, simplemente deberemos eliminar el mensaje. En principio, la peligrosidad de esta estafa del falso SMS de MRW está en el hecho de engañarnos para que demos nuestros datos, pero no se tiene constancia que se transmita ningún malware.
Ver 24 comentarios