MENÚ

Cuidado con este SMS que te invita a conseguir una caja misteriosa de Rituals: es ‘smishing’

Publicado
Actualizado
Claves
  • Se está enviando un SMS, supuestamente de Rituals, en el que te invitan a reclamar un premio. El mensaje llega a tu móvil con tus datos personales, como tu nombre y fecha de nacimiento
  • El enlace que acompaña el SMS redirige a una página web fraudulenta en la que te terminarán solicitando tus datos personales y los de tu tarjeta bancaria y suscribiendo a un servicio de pago
  • A esta técnica se la conoce como smishing: a través de SMS, los timadores suplantan a una entidad que conocemos para hacerse con nuestros datos

Comparte
Etiquetas

“Estimado participante. Ahora tienes la oportunidad única de recibir un Rituals ¡Caja misteriosa! (sic) Para reclamarlo, simplemente complete la breve encuesta sobre su experiencia con Rituals”. Este es el mensaje que nos aparece cuando hacemos clic en el enlace que nos llega a través de SMS en nombre de la marca de cosméticos holandesa Rituals, invitándonos a reclamar un premio. Sin embargo, es un caso de simishing. Los timadores se hacen pasar por Rituals para hacerse con tus datos personales y los de tu tarjeta bancaria. Si se los damos, nos suscribirán a un servicio online de pago por el que nos cobrarán 3 euros por una prueba de 3 días y 39,99 euros cada 14 días.

El SMS que nos llega y nos invita a reclamar un premio 

Los timadores se hacen pasar por Rituals 

El SMS de la supuesta promoción de Rituals llega a nombre de una persona en concreto, junto a una fecha de nacimiento. En Maldita.es ya os hemos explicado cómo es posible que un ataque de phishing llegue a nuestro nombre. Por ejemplo, es probable que hayamos facilitado nuestros datos personales en un caso de phishing anterior sin darnos cuenta. 

En este caso, si entramos en el enlace que nos envían en el SMS y nos fijamos en la URL de la página a la que nos redirigen (inforapid. life), descubrimos que no tiene el nombre de la marca. Mientras, la web oficial de Rituals sí que contiene el nombre: rituals.com

Arriba está la página oficial. Abajo la fraudulenta que no tiene el nombre de la marca. 

En esta página fraudulenta nos van a pedir que contestemos a ocho preguntas. 

La encuesta que nos aparece cuando entramos al enlace que acompaña el SMS.

Las ocho preguntas del cuestionario

Si sigues los pasos te solicitarán tus datos bancarios

Tras completar la encuesta, nos dicen que hemos ganado un “paquete sorpresa que contiene una variedad de artículos”. Pero como podemos ver en la siguiente imagen, nos pedirán nuestra dirección y que paguemos el coste del envío para que nos entreguen el paquete en un plazo de 2 a 3 días hábiles. 

Captura de la página web fraudulenta

Al hacer clic en "reclamar caja misteriosa", nos llevarán a otra página web fraudulenta (join.directpmts4. com) en la que nos pedirán que facilitemos nuestros datos personales y, como paso final, nos solicitarán ingresar nuestra información bancaria.

Captura del formulario para introducir los datos de nuestra tarjeta bancaria

Sin embargo, si bajamos un poco en la página web fraudulenta, veremos en letra pequeña la explicación de lo que realmente harán: primero te cobrarán tres euros a cambio de una "prueba de tres días" y, luego, te descontarán otros 39,99 euros cada 14 días por una "suscripción". Este aviso también aparece en la parte superior de la página, en una línea blanca pequeña sobre un fondo negro.

Los avisos de la página fraudulenta donde especifican lo que realmente harán en caso que ingreses tus datos bancarios y personales.  

Consejos para evitar ser víctima de ‘smishing’

Aquí tienes una serie de recomendaciones que puedes seguir cuando te vuelva a llegar un mensaje que use el nombre de tu empresa de confianza:

  • Mira bien la dirección de la web a la que te redirige antes de pinchar. Normalmente este tipo de notificaciones vienen con un link. Si la URL de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate en lo que aparece antes del último punto, ese es el dominio real de la página web.

  • No descargues ninguna supuesta aplicación. Podría contener malware

  • Activa la protección contra spam en tu móvil.

  • Párate un momento a pensar. Estos mensajes suelen transmitir urgencia para que tomes medidas cuanto antes y sin razonar.

  • Contrasta con las fuentes antes de dar tus datos. Recuerda que puedes preguntar a la propia compañía o contactar con el Instituto Nacional de Ciberseguridad (INCIBE) a través de su línea de ayuda en ciberseguridad.

Qué hacer si hemos sido víctimas de este timo

Si has caído en el engaño y has facilitado tus datos, aquí tienes una serie de pasos a seguir:

  • Si has facilitado tus datos personales, práctica el egosurfing para comprobar que no se está haciendo un uso indebido de los mismos.

  • Si también has facilitado los datos de tu tarjeta bancaria o tus credenciales de acceso a la banca online, contacta con tu entidad cuanto antes para contarles lo ocurrido y tomar las acciones necesarias.

  • Recopila todas las evidencias de cómo se ha producido el timo y denuncia ante la Policía Nacional o la Guardia Civil.

  • Es posible que te hayan suscrito a un servicio de pago online. En este artículo explicamos cómo saberlo y cómo podemos darnos de baja.

Si piensas que has sido víctima de este timo puedes contarnos tu historia escribiéndonos a [email protected].


Primera fecha de publicación de este artículo: 24/09/2024