Hoy en día NO es para nada extraño acabar recibiendo intentos de estafa conteniendo datos legítimos tuyos (cómo pueden ser los apellidos en este caso)
Es debido simplemente al hecho de haberlos extraído previamente (aprovechando brechas de seguridad) de páginas web en las que hayas podido estar registrado.
Suelen ser bases de datos completas con información veraz de miles o millones de usuarios que luego se aprovecha para crear distintas campañas de SPAM/Phishing, ya sea por SMS o por correo electrónico.
N.B. Lo más común es utilizando técnicas de inyección MySQL!