“Por favor confirma la recepción. ¡Por favor haga clic aquí!”, comienza un correo electrónico supuestamente remitido por la empresa de ropa Shein. Si has recibido un email como este, en el que eres el ganador de una caja misteriosa, elimínalo cuanto antes de tu bandeja de entrada, porque se trata de una estafa.
Los ciberdelincuentes han suplantado a la compañía para hacerse pasar por Shein en un nuevo caso de phishing, una técnica de ingeniería social que consiste en el envío de correos electrónicos fraudulentos con los que pretenden hacerse con la información personal o bancaria de sus víctimas.
Shein no regala una caja misteriosa a cambio de hacer una encuesta
En el correo fraudulento que suplanta a Shein se insta a las potenciales víctimas a seguir un enlace que deriva a una web cuya dirección URL (https://lonesomegrunting.xyz/?encoded_value=223GDT1&sub1=85a95223ee99499c9bb4f6e91a19e8c2&sub2=&sub3=&sub4=&sub5=15938&source_id=20102&ip=2a0c%3A5a81%3Ab306%3A7300%3Ad1a3%3A21ed%3A2c13%3A210b&domain=www.todaystrackisfast.com) no guarda relación con la oficial de la empresa de ropa: https://es.shein.com/. De hecho, el remitente del email ya hace saltar las alarmas de que se trata de un caso de phishing (Shein_Desbloqueado suzukipvp@rackabzar.com).
La web a la que redirige el correo deriva, a su vez, a una encuesta de ocho preguntas. Tras responderlas, una nueva pantalla aparece para reclamar el premio, que, como se ha dicho, es una “caja misteriosa” de Shein.
No obstante, en la parte inferior de la web fraudulenta de la encuesta aparece el siguiente mensaje: “Este sitio web no está afiliado ni respaldado por Shein o cualquier marca similar y no pretende representar ni poseer ninguna de las marcas comerciales, nombres comerciales o derechos asociados con cualquiera de los productos que son propiedad de sus respectivos dueños que no poseen, avala o promociona este sitio web”. Esta es otra pista que hace saltar las alarmas sobre la legitimidad de la oferta.
Una vez se ha completado la encuesta, la web deriva a otra pantalla en la que se pide a las víctimas que introduzcan sus datos personales. Es en este momento en el que los ciberdelicuentes, con el gancho de la “caja misteriosa”, se hacen con la información sensible de los usuarios.
Además, lo habitual es que las empresas anuncien este tipo de ofertas a través de sus canales oficiales. Sin embargo, en este caso, ni la web ni la cuenta en Instagram de Shein recogen el envío de una caja misteriosa a cambio de contestar una encuesta.
¿Cómo evitar el phishing?
Desde el Instituto Nacional de Ciberseguridad (INCIBE) ofrecen una serie de consejos para evitar ser víctimas de este tipo de estafas mediante phishing. En primer lugar, no hay que abrir correos que se han solicitado o que provienen de remitentes desconocidos. La institución aconseja eliminarlos y bloquear al usuario. Tampoco hay que contestar a dichos emails, ni mandar información personal.
Es necesario contar con dispositivos y programas actualizados, y asegurarse de que el remitente, aunque parezca conocido, es legítimo antes de proporcionar información. INCICE aconseja no seguir enlaces facilitados en correos ni descargar archivos adjuntos.
Además, es preciso mantener actualizado el antivirus y recomendable activar la doble autenticación cuando sea posible.