“Estimado [nombre del cliente], debe abonar los gastos del envío [albarán] de [tienda en la que compró]. Puede hacerlo: [página fraudulenta]”. Esta es la plantilla del SMS que desde ayer están recibiendo clientes de MRW que están esperando que esta empresa de mensajería les haga llegar algún producto adquirido en una compra online. Todos los datos de la comunicación coinciden con la realidad, según afirman los afectados en sus redes sociales, excepto la página indicada, en la que se les pide que hagan un pago de 0,99 euros. Esta última es un intento de suplantación creado con la intención de robar las credenciales bancarias de quienes caigan en la treta.
“A través de estos SMS fraudulentos, se envía un localizador de envío al usuario con un enlace que le redirige a una página fraudulenta con el fin de que pague unos supuestos gastos de envío de un paquete enviado por MRW”, detalla el aviso publicado por la Oficina de Seguridad del Internauta (OSI). De acuerdo con las publicaciones hechas por los afectados en sus redes, otra empresa de paquetería, Sending, también está siendo objeto de una campaña de suplantación con las mismas características.
Estas estrategias, comunes en las proximidades de fechas señaladas como la temporada navideña o el día de la madre, suelen utilizar como cebo la elevada probabilidad de que sus víctimas hayan hecho recientemente alguna compra a través de internet. Lo que no es tan habitual es que las campañas de suplantación [phishing] estén personalizadas hasta el punto de contener el nombre real del receptor del mensaje, la tienda en la que ha comprado e incluso el número de envío que le asignó la empresa de paquetería.
La especificidad de estos datos ha llevado a muchos usuarios e incluso a algún medio a apuntar a una posible filtración de la base de datos de MRW. EL PAÍS se ha puesto en contacto con ambas compañías, pero no ha obtenido por ahora confirmación de que se hayan producido brechas de seguridad. Desde el Incibe indican que toda la información que se conoce por el momento es la publicada en el aviso de la OSI, que no hace referencia a la procedencia de los datos, y que sus expertos seguirán investigando el tema.
Cuando comenzaron las quejas, la empresa comunicó en su cuenta corporativa un “posible fraude vía SMS utilizando el nombre de MRW”, compartió una muestra del mensaje que estaba circulando y señaló que la página indicada no coincide con la que utiliza la compañía. Sin embargo, no hizo ninguna referencia a la posibilidad de que se hubiera producido una brecha de seguridad.
🚨 ¡Alerta! Posible fraude vía SMS utilizando el nombre de MRW.
Están circulando mensajes susceptibles de ser un fraude. Os recordamos que toméis en cuenta las consideraciones del enlace a nuestra página web: https://t.co/DkDsKj8ij4
— MRW España (@mrw_es) December 27, 2021
Unas horas antes, su canal de atención al cliente había hecho otra publicación en la misma plataforma: “Hola! Si recibes un SMS indicando que debes abonar unos gastos de envío, por favor, no lo hagáis. Estamos intentando solucionarlo lo antes posible”. A primera hora de esta mañana, la misma cuenta volvió a tuitear el mensaje que el perfil corporativo había enviado la tarde anterior.
La artimaña de los estafadores sortea con inusitada eficacia algunas de las salvaguardas que los expertos en seguridad recomiendan emplear para no caer en estas trampas. Por un lado, basan sus mensajes en compras que efectivamente han ocurrido y facilitan datos reales sobre estas, por otro, la página facilitada para el pago imita con éxito a la de la empresa de paquetería. La única pista que queda a los usuarios es que el dominio es envios-mrw.com y no mrw.es, que es la verdadera dirección de la compañía en internet. De acuerdo con los datos de registro, el dominio fraudulento de MRW se creó precisamente ayer, mientras que el de Sending tiene ya dos días de antigüedad.
¿Qué deben hacer quienes han facilitado sus datos en la web fraudulenta? Desde la Oficina de Seguridad del Internauta indican que en casos como este “los afectados deben contactar lo antes posible con la entidad bancaria para informarles de lo sucedido y cancelar posibles transacciones que se hayan podido efectuar”, así como bloquear el acceso a las cuentas y tarjetas, y actualizar las credenciales de acceso a los servicios de banca en línea. Además, los ciudadanos y empresas afectados por incidentes de ciberseguridad tienen a su disposición el número de ayuda gratuito del Incibe, 017.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.