Están circulando durante estos días diferente correos de spam que forman parte de una campaña fraudulenta, en la cual se hacen pasar por múltiples firmas fingiendo ofrecer premios y vales de descuento de las mismas, para así obtener los datos privados y bancarios de las víctimas e inscribirlos en campañas de spam masivo.

Recursos afectados

Aquellos usuarios que reciban alguno de los correos electrónicos detallados y envíen sus datos para obtener el supuesto premio o vale descuento.

Solución

Si has sido víctima de este engaño:

  1. Vigila regularmente qué información tuya circula por Internet para detectar si tus datos privados están siendo utilizados sin tu consentimiento. Practicar “egosurfing” te permitirá controlar qué información sobre ti hay en la red.
  2. Si tras realizar una búsqueda en Internet de tu información personal encuentras algo que no te gusta o se está ofreciendo indebidamente información sobre ti, tienes a tu disposición los derechos de acceso, rectificación, cancelación u oposición (ARCO) al tratamiento de tus datos personales. La Agencia Española de Protección de Datos te proporciona las pautas para que los puedas ejercer.
  3. Denuncia la situación ante la Agencia Española de Protección de Datos y/o ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).
  4. De manera adicional, si has facilitado tu número de teléfono móvil, contacta lo antes posible con la operadora de telefonía para que bloqueen los números SMS Premium y revisen si se ha realizado algún cargo sin tu consentimiento.
  5. Del mismo modo, si has facilitado datos bancarios, debes contactar directamente con tu banco para tomar junto a ellos las medidas de seguridad que correspondan, para evitar que te realicen cargos adicionales.

Para evitar este tipo de engaños, la mejor recomendación es no introducir NUNCA datos personales, bancarios. Tampoco el número de teléfono móvil en promociones online de dudosa reputación o que te hayan llegado sin ser solicitados, como sería el de este ejemplo.

En caso de duda, siempre se recomienda consultar directamente con las empresas implicadas. La mayoría de las ocasiones estas empresas tienen cuentas en redes sociales (Facebook o Twitter) a través de las cuales contactar con ellas directamente y consultar dudas sobre una supuesta campaña de ofertas.

Detalles

El fraude empieza con el envío de correos de spam a usuarios en donde se ofrece participar en un sorteo para obtener un vale de descuento para gastar en una empresa conocida. Entre las empresas que se han visto afectadas por esta campaña, se encuentran, El Corte Inglés, IKEA, Aldi, Spar, Peugeout, Leroy Merlin, H&M, Primark, Carrefour, Vueling, Amazon, entre otras.

A continuación, mostramos un ejemplo de email de los que está circulando.

Captura de pantalla del email fraudulento con el literal "¡Tu oportunidad de GANAR un vale regalo de 500€!

Fuente de la imagen: Hispasec

 

El correo facilita un botón desde el cual redirige al usuario a una página diseñada para hacerse pasar por una web legítima de una empresa en la que solicitan, además de responder una serie de preguntas a modo encuesta, diferentes datos personales.

Captura de pantalla que muestra la web fraudulenta donde redirige el email anterior.

Fuente de la imagen: Hispasec

 

Captura de pantalla que muestra la web fraudulenta tras contestar a las preguntas de la pantalla anterior

Fuente de la imagen: Hispasec

 

Una vez introducidos los datos personales, las distintas páginas ofrecen formularios para suscribirse a seguros, webs de formación, información financiera y ONGs entre otros.

Además de datos personales y suscripciones a servicios, se han encontrado mensajes fraudulentos en esta campaña que intentan también obtener los datos bancarios del usuario.

Captura de pantalla que muestra que se ha sido seleccionado para una tarjeta regalo de Amazon de 750€

Fuente de la imagen: Hispasec

 

Al intentar reclamar el premio, la página solicita los datos bancarios del usuario, la tarjeta de crédito, el CVV y la fecha de caducidad.

Captura de pantalla que muestra como al acceder al supuesto premio, pide los datos bancarios

Fuente de la imagen: Hispasec

 

Para prevenir esta situación

Como ya hemos mencionado en el apartado solución de este aviso de seguridad, para evitar este tipo de engaños, la mejor recomendación es no introducir NUNCA ni datos personales, ni bancarios, ni el número de teléfono móvil en promociones online de dudosa reputación o que te hayan llegado sin ser solicitados.

Adicionalmente, se recomienda prestar especial atención, y evitar en la medida de lo posible, participar en sorteos online donde se pida al usuario compartir la promoción en redes sociales o aplicaciones de mensajería instantánea.

En caso de duda, siempre se recomienda consultar directamente con las empresas implicadas.

No es la primera vez que alertamos desde la OSI de este tipo de campañas maliciosas, recientemente hemos publicado avisos de seguridad alertando de falsos cupones en Lidl. Para más información sobre este tipo de estafas, se puede consultar el siguiente artículo de nuestro blog: https://www.osi.es/es/actualidad/blog/2016/02/16/campanas-de-vales-descuento-que-hay-detras