«Eres nuestro ganador! Premio: Juego de bandejas para destornilladores Wiha. Se puede aplicar una tarifa de envío” (sic). Así comienza un correo electrónico que está circulando estos últimos días suplantando la identidad de Leroy Merlin.
Si lo has recibido, elimínalo cuando antes de tu bandeja de entrada. Se trata de una estafa que suplanta la identidad de la multinacional francesa especializada en bricolaje. Al final de este proceso, solicitan los datos bancarios del usuario. Te contamos las claves para no caer en este timo
El email suplanta la identidad de Leroy Merlin
Lo primero que aparece cuando pinchamos en la imagen del correo electrónico es una pantalla que dice: “Estimado comprador de Leroy Merlin, nos gustaría ofrecerle una oportunidad única de recibir un nuevo Juego de bandejas para destornilladores Wiha! Para reclamar, simplemente complete esta breve encuesta sobre su experiencia con Leroy Merlin. Atención! Esta oferta de encuesta vence hoy, Julio 09, 2024.” (sic).
En esta ocasión, la recompensa es un juego de bandejas para destornilladores Wiha. La web fraudulenta además indica que quedan pocas horas para obtener la recompensa con el objetivo de que su posible víctima se apresure en pagar. También se especifica que se han repartido más de 4.000.000 de euros en ofertas para convencer al usuario.
En dicha web también aparece un botón resaltado en el que dicen: “Empezar encuesta”, que redirige a esta web: https://burgomastergymnosophical.online/?encoded_value=223GDT1&sub1=28c5fac2334a4d31b56005e91bad6b44&sub2=&sub3=&sub4=&sub5=12408&source_id=20037&ip=66.81.160.169. Enlace que nada tiene que ver con la oficial de la compañía: https://www.leroymerlin.es/
De hecho, para dar más credibilidad a la estafa, los ciberdelincuentes incluyen comentarios de otros supuestos ganadores. “En realidad obtuve un premio de esta encuesta! Yo era escéptico al principio, pero lo intenté. ¡Y mira lo que acaba de llegar por correo!” (sic), comenta un supuesto ganador que publica además una foto del supuesto premio.
La imagen de perfil y el contenido del comentario curiosamente coincide con el de otras estafas que hemos analizado desde INFOVERITAS, como, por ejemplo, esta de LIDL.
La encuesta de Leroy Merlin redirige a una pasarela de pago
Una vez respondidas las diez preguntas, se abre una nueva pantalla para poder reclamar el premio. “¡Gracias por completar la encuesta! Debido a que ayudó a proporcionar datos de consumidores extremadamente valiosos, ahora puede elegir algunas de las siguientes recompensas exclusivas a continuación. Tenga en cuenta que si abandona esta página sin reclamar su recompensa, no tenemos más remedio que darle a otro visitante la oportunidad de participar en nuestro programa de recompensas” (sic), escriben los ciberdelincuentes en la web fraudulenta.
Asimismo, añaden una nueva pantalla para reclamar la recompensa en la que indican que el precio es de 242,45€, pero por haber respondido a las preguntas el precio es de 0 euros y solo hay que pagar el envío.
A continuación, ofrecen una serie de instrucciones para reclamar el premio. En primer lugar, se ha de completar la dirección de envío; en segundo, pagar “solo los gastos de envío” y en última instancia indican que el premio será entregado en un plazo de 5-7 días hábiles.
La siguiente y última pantalla será la pasarela de pago, donde los ciberdelincuentes usaran los datos bancarios para ir efectuando cobros con frecuencia sin que apenas te des cuenta.
Leroy Merlin ha confirmado que es phishing
Aunque usa los colores corporativos, el logo de Leroy Merlin y una imagen de fondo donde se aprecia un establecimiento de la compañía de decoración y bricolaje, existen algunos detalles sospechosos en la construcción de esta página web.
Si te fijas detenidamente en el aviso del final de la web aparece un mensaje que dice lo siguiente: “Este sitio web no está afiliado ni respaldado por Leroy Merlin o cualquier marca similar y no pretende representar ni poseer ninguna de las marcas comerciales, nombres comerciales o derechos asociados con cualquiera de los productos que son propiedad de sus respectivos dueños que no poseen, avala o proporciona este sitio web”. Este mensaje ya debe alertar de que la web en la que nos encontramos no es la oficial de Leroy Merlin.
Además, para confirmar que es una campaña de phishing, técnica que usan los ciberdelincuentes para suplantar webs de identidades y obtener los datos personales de los usuarios, hemos consultado el perfil oficial de X de Leroy Merlin.
Una búsqueda avanzada en dicha red social con las palabras clave ‘phishing’ pone de manifiesto que se trata de una estafa. En esta publicación, de 2022, Leroy Merlin confirmó en sus redes sociales que este tipo de correos electrónicos se tratan de un fraude. “Leroy Merlin quiere manifestar que no está realizando ninguna comunicación de este tipo a través de email ni en otros canales, por lo que es totalmente ajena a este tipo de comunicaciones que están recibiendo algunos de nuestros clientes. #StopPhishing”, concluyen.