Los ataques de phishing no pasan de moda. Entidades como BBVA, Correos, FedEx o la Dirección General de Tráfico han sido suplantadas en diferentes ocasiones para engañar a los usuarios y estafarlos, y ahora le llega el turno a Lidl, que está siendo suplantada para redirigir a los usuarios a un web fraudulenta.
Según han alertado la Guardia Civil y la OSI (Oficina de Seguridad del Internauta), se ha detectado una campaña de phishing que, con la excusa de ofrecer un robot de cocina por dos euros, lleva a los usuarios a una web falsa, donde deben introducir sus datos personales y bancarios. Una estafa en toda regla.
No hay robot de cocina, pero sí un potencial disgusto
El correo electrónico detectado por la OSI tiene como asunto el texto "Cita 19/02/2021: Nombre del destinatario”, aunque no se descarta que pueda llegar en diferentes formatos. Además, el mail no está enviado desde un dominio de la empresa, sino desde uno genérico, algo que lleva a sospechar desde el primer momento pero que puede llegar a engaños.
En el cuerpo del correo se explica que el cliente tiene una enorme cantidad de puntos de fidelización que van a caducar próximamente, a no ser que los canjee por un robot de cocina, uno de los productos más populares de Lidl (y envuelto en cierta polémica recientemente). Esta estrategia es muy típica en las estafas de phishing: dar una sensación de urgencia para provocar que el usuario tome una decisión precipitada.
En la parte inferior del texto encontramos un botón que reza "Procedimiento de confirmación y continuación" que redirecciona a una web que simula ser una promoción real. Nos pedirá que demos nuestros datos personales (incluyendo dirección, código postal, ciudad, teléfono y correo electrónico) y, posteriormente, nuestros datos bancarios (número de tarjeta, expiración, titular, CVV) para abonar dos euros. Si lo hacemos, la web dará error, pero los que están detrás de la web habrán recibido la información que hayamos introducido en ella.
Es un ataque de phishing de manual: se suplanta a una entidad conocida, se le intenta dar cierta credibilidad usando su identidad corporativa o recreando una web similar a la propia y se pide al usuario que introduzca muchos datos personales. Ante la duda, lo recomendable es desconfiar, confirmar la información con la propia entidad y, por supuesto, no acceder a ninguno de los enlaces ni descargar archivos adjuntos.
Más información | OSI
Ver todos los comentarios en https://www.xataka.com
VER 10 Comentarios