Nuevo scam utiliza a Mercadona como gancho para obtener credenciales de correos y datos de tarjetas de crédito

La utilización de marcas conocidas como gancho para atraer usuarios es una técnica que viene utilizándose desde hace varios años por parte de los delincuentes. Una de las marcas que mejor reputación tiene entre los usuarios españoles es la de la cadena de supermercados Mercadona, y por eso mismo no nos extraña que vuelva a ser utilizada como cebo para una nueva campaña de scam.

Cupones regalo que esconden algo turbio

En este mismo blog ya hemos analizado campañas anteriores donde se utilizaba el nombre de Mercadona ilícitamente para suscribir a los usuarios a números de tarificación especial mediante emails fraudulentos. También han sido numerosas las campañas propagadas a través de WhatsApp en la que se nos prometía un cupón de una cantidad importante de dinero a gastar en este supermercado, pero que realmente terminaba en encuestas inacabables o en la descarga de aplicaciones de dudosa utilidad.

En esta ocasión nos encontramos ante un email que nos indica que hemos resultado seleccionados para recibir una tarjeta regalo de Mercadona por valor de 500€. Un rápido análisis a este correo nos debería hacer sospechar, ya que su remitente no tiene nada que ver con esta empresa y el email está enviado desde una dirección personal.

No obstante, este supuesto premio puede resultar interesante para muchas personas que no reparen en los indicios evidentes de que se encuentran ante un engaño. Si además se añade la posibilidad de acceder a una web desde la que ver películas y series de televisión (sin relación alguna con Mercadona), es probable que pique más de un ingenuo.

En el correo se adjunta un enlace acortado desde el cual podremos acceder a la web preparada para la ocasión. Que el enlace al que se nos redirige no se muestre en el correo no permite saber a qué web se nos va a enviar a menos que pulsemos sobre él o utilicemos un alargador de enlaces.

Obtención de credenciales de correos y tarjetas de crédito

En esta ocasión, el principal problema para los usuarios que pulsen sobre el enlace proporcionado es que pongan en riesgo datos privados como sus credenciales de acceso a su correo y los de su tarjeta de crédito. Por ejemplo, en la web preparada para recibir a todos los que hayan hecho clic sobre el enlace acortado podemos ver que se solicita un email y una contraseña, que no tiene por qué ser la de nuestro email, pero seguro que no pocos usuarios la introducen.

De esta forma, los creadores de esta campaña consiguen utilizar los correos electrónicos de aquellos que han introducido sus credenciales para, por ejemplo, seguir reenviando este tipo de scams a sus contactos y hacer que se recluten nuevas víctimas potenciales. Todo esto se podría evitar si nos fijásemos en el dominio utilizado, que no tiene nada que ver con Mercadona por mucho que utilice su imagen corporativa.

En el segundo paso, podemos observar cómo se nos ofrece una suscripción al servicio de streaming de vídeo que tampoco tiene nada que ver con Mercadona, y se nos piden datos personales entre los que se incluyen los de nuestra tarjeta de crédito. Antes de hacer nada y rellenar formularios con datos personales, revisemos primero si nos encontramos ante una web de confianza, por mucho candado y conexión segura que muestre, ya que podemos estar ante un engaño que puede costarnos más de un disgusto.

De hecho, a pesar de que se nos indica varias veces que no se realizarán cargos no autorizados, buscando un poco en Internet encontramos varios comentarios de usuarios a los que se les cobró esta suscripción sin que ellos la hubiesen autorizado. Además, revisando la reputación de la web podemos comprobar que esta no es especialmente buena, un indicativo más que suficiente para evitar introducir cualquier dato personal en ella.

Conclusión

Este tipo de engaños buscan conseguir datos de sus víctimas de la manera más sencilla posible y, aunque parezcan muy similares a los vistos hace tiempo, hay un par de puntos a tener en cuenta para ver cómo han evolucionado. El primero es la redacción del email utilizado como cebo, y es que no se observan faltas de ortografía, ausencia de tildes o una construcción extraña de las frases, algo que puede ayudar a convencer a los más prevenidos frente a estos engaños.

No obstante, el aspecto más destacable es la utilización cada vez mayor de certificados para conseguir una conexión segura con la web maliciosa. Muchos usuarios siguen confiando ciegamente en una URL cuando ven el icono del candado o las siglas HTTPS cuando, en realidad, lo único que se está certificando es que el envío y recepción de datos se está realizando por un canal seguro, no que la web en sí sea segura.

Estas dos mejoras demuestran una evolución en estos scams que, si bien siguen siendo fáciles de detectar para el usuario prevenido, pueden hacer caer en la trampa a más usuarios que antes, por lo que debemos andar con mucho cuidado.

Josep Albors

 

Día mundial de las contraseñas: ¿por qué seguimos fallando en lo más básico?