Las estafas por SMS son una práctica cada vez más habitual. Hace unos meses hablamos en profundidad sobre la estafa del SMS de FedEx y hoy le toca el turno a MRW, pero en este caso estamos ante un caso más complejo y, por tanto, peligroso.
El SMS que están recibiendo algunos usuarios les insta a pagar los gastos de envío de un paquete de MRW. La principal diferencia de esta nueva estafa es que, a diferencia de las anteriores, el SMS incluye datos personales como el nombre y el localizador del envío real, haciendo que la estafa sea mucho más creíble.
Los estafadores se aprovechan de una filtración de datos de MRW
Desde hace un tiempo van circulando varios SMS que aprovechan la recepción de un supuesto paquete para hacernos caer en la estafa. Sin embargo, en otras ocasiones el mensaje era más sospechoso y el engaño resultaba más fácil de detectar. Esta vez nos llega un mensaje con información real y esto es debido a que los atacantes han aprovechado una filtración de datos para que la estafa sea más creíble. MRW ya ha advertido acerca de esta estafa y afirman estar trabajando en una solución.
El mensaje que han recibido los afectados incluye, como decíamos, el nombre del usuario, un código de envío y la tienda desde donde se envía el paquete. En el mensaje se pide el pago de los gastos de envío a través de un enlace fraudulento a la web envios-mrw.com. No se trata de la web oficial, pero el diseño está muy conseguido y nos muestra información como el localizador del envío y la localidad a la que se envía
Como decíamos, la página falsa nos pide que paguemos unos gastos de envío de 0,99 euros, pero en realidad lo que hace es quedarse con los datos de nuestra tarjeta para así poder hacer un cargo mayor. Actualmente la web falsa ya ha sido bloqueada, pero los atacantes pueden crear otra que se le parezca para continuar con la estafa.
Los compañeros de Xataka han contactado con el Instituto Nacional de Ciberseguridad, donde ya han advertido acerca de este 'smishing' y han catalogado la estafa con una importancia de 4 sobre 5. Dado que en este caso habría una brecha de seguridad por parte de MRW, la compañía debería informar a la Agencia Española de Protección de Datos en 72 horas tras el conocimiento del problema. De momento ni MRW ni la AEPD se han pronunciado acerca de esta estafa.
Cómo evitar caer en esta estafa y qué hacer si ya has dado tus datos
La desconfianza es la mejor receta para evitar este tipo de estafas. Estamos ante un smishing más elaborado ya que como hemos visto usa una filtración de datos para ganar credibilidad, pero hay puntos que delatan que estamos ante un fraude como es la URL a la que nos dirige el enlace.
Si has recibido el SMS, simplemente elimínalo, pero si has introducido tu tarjeta de crédito, es vital que te pongas en contacto con tu banco lo antes posible y bloquees la tarjeta de crédito para que los estafadores no puedan hacerse con tu dinero. Si ya hay algún cargo en tu tarjeta que no reconocer, habla con tu banco para que te asesoren sobre cómo poder recuperarlo.
En Xataka Android | El troyano tras la estafa del SMS de FedEx, analizado a fondo: así funciona y así puedes eliminarlo
