La Oficina de Seguridad del Internauta (OSI), dependiente del Instituto Nacional de Ciberseguridad (INCIBE), ha alertado sobre una nueva campaña de envío de correos electrónicos falsos que suplantan la identidad de Amazon.
El objetivo de los ciberdelincuentes es robar los datos personales y bancarios de los usuarios y para ello intentan redirigir a la víctima, a través de un enlace facilitado en el e-mail, a una página web fraudulenta (phishing) que simula ser un servicio de Amazon. En esta web, se solicita rellenar una breve encuesta bajo el aliciente de ser premiados con "productos exclusivos", pero para poder recibirlos deben facilitar sus datos personales y bancarios.
Así lo ha advertido OSI, que también ha explicado detalladamente las claves de esta campaña de phishing.
La cuenta de correo que envía el e-mail no es de Amazon
OSI comienza señalando que la dirección desde la que se envían los correos electrónicos no es un dominio que pertenezca a Amazon. Esto puede ser una señal de que se trata de un engaño, aunque el remitente se puede manipular fácilmente siguiendo una técnica muy utilizada por los ciberdelincuentes conocida como spoofing.
El correo tiene como asunto "Estimado , Tiene (1) un paquete ubicado en el centro de distribucion Amazon.”, aunque OSI no descarta que se esté difundiendo con otros asuntos parecidos. Además, se caracteriza por dirigirse al usuario utilizando la dirección de correo electrónico en lugar de su nombre o apellidos.
"En el cuerpo del mensaje se invita al usuario a completar una encuesta lo más rápido posible para recibir supuestamente los mejores premios", explican.
En el caso de que el usuario pulse sobre el enlace que indica "Empezar", se le redirige a una página web aparentemente legítima y se le invita a rellenar una encuesta relacionada con la experiencia de compra en Amazon. Como gancho, el mensaje promete que todos los participantes recibirán un premio a elegir y ofrece un "código de bono único", que posteriormente no se solicitará en ningún formulario.
¿Cómo obtienen los datos personales y bancarios de los usuarios?
Tras responder a varias preguntas de carácter personal, la web fraudulenta vuelve a redirigir a los usuarios a un catálogo de productos a elegir como premio. En esta web, es donde llega la estafa ya que es aquí donde, para poder realizar el pedido, se deben facilitar los datos personales: nombre, apellidos, dirección, teléfono, código postal, número de teléfono y correo electrónico.
"En algunos productos, como los teléfonos móviles, una vez rellenados los datos personales, nos da la opcion de añadir información sobre nuestra tarjeta de crédito y efectuar un pago, de una cantidad de dinero simbólica: 1,50€. Finalmente, una vez introducidos los datos, al pulsar en el botón para enviarlos, la página nos mostrará un error, pero los ciberdelincuentes ya los tendrán en su poder para hacer uso de ellos para cualquier fin malicioso o fraudulento", añade OSI.
La Guardia Civil también ha compartido la advertencia de OSI sobre esta estafa publicando este mensaje en su cuenta oficial de Twitter.
Qué hacer si se ha "picado" en este ataque de phishing
La Oficina de Seguridad del Internauta también ha explicado los pasos que deben seguir los usuarios que hayan "picado" en este ataque de phishing y hayan facilitado sus datos bancarios. En primer lugar, deben contactar cuanto antes con su entidad bancaria para informarles de lo sucedido. Además, OSI recomienda a las víctimas de esta campaña que permanezcan atentas y monitoricen periódicamente la información que hay publicada sobre ellos en Internet, para evitar que sus datos privados estén siendo utilizados sin su consentimiento.
"Si, tras haber hecho 'egosurfing' (es decir, una búsqueda de tu nombre y otros datos personales en el buscador), encuentras algo que no te gusta o se está ofreciendo indebidamente información sobre ti, puedes ejercer tus derechos de acceso, rectificación, oposición y supresión al tratamiento de tus datos personales. La Agencia Española de Protección de Datos te proporciona las pautas para que los puedas ejercer", indica OSI.
Cómo evitar ser víctima de estafas tipo phishing
Además, OSI ha ofrecido esta lista de recomendaciones para evitar ser víctima de fraudes tipo phishing:
- Desconfiar de los correos electrónicos de usuarios desconocidos o que no se hayan solicitado, y eliminarlos de la bandeja de entrada.
- No contestar en ningún caso a estos correos.
- Tener siempre actualizado el sistema operativo y el antivirus de nuestro dispositivo. En el caso del antivirus, también se debe comprobar que esté activo.
- Buscar a la compañía escribiendo directamente la URL en el navegador y no a través de enlaces en correos electrónicos o mensajes de texto.
- Dudar de promociones en Internet como esta de Amazon que, además, requieran facilitar información personal.
- No facilitar los datos personales (número de teléfono, nombre, apellidos, dirección o correo electrónico) o bancarios en cualquier página. Informarse previamente y lee los textos legales de la web para descartar un posible mal uso de nuestros datos.
- Si se tiene descargada la aplicación, revisar que es la legítima y que los permisos proporcionados son adecuados.
- En caso de duda, consultar directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.