Amazon es la plataforma de compras online más grande del mundo y solo en España cuenta con más de 6,5 millones de usuarios. Sin embargo, su popularidad va más allá de los consumidores y los ciberdelicuentes también están usando este servicio como el cebo de una oleada de ataques de phishing que ha sido detectada por el equipo de PandaLabs, el Laboratorio de Panda Security.
Las claves de esta campaña de phishing
La compañía de ciberseguridad española ha advertido que esta campaña de phishing se está difundiendo mediante correos electrónicos en los que los estafadores se hacen pasar por el popular Marketplace con el objetivo de conseguir los datos bancarios de sus víctimas. Para ello, en sus e-mails avisan de una supuesta compra no autorizada o invitan a sus destinatarios a tener un trato de favor por parte de la compañía. "En este caso, los ciberdelincuentes invitan a la víctima a crearse una cuenta en Amazon Business, un tipo de cuenta que en vez de ofrecer ventajas domésticas como 'Prime', va orientada a empresas", señala Panda Security.
Según explica, el truco de los ciberestafadores consiste en persuadir a los usuarios ofreciéndoles "un código descuento de un 25% en la primera compra" del que se pueden beneficiar "simplemente" confirmando su cuenta de Amazon. Es decir, les piden que les proporcionen sus datos de acceso (correo y contraseña) para poder comprobar su cuenta y, además, añaden que enviarán el código descuento en un periodo de hasta 48 horas. "Cuando lo más probable es que en ese tiempo, hayan aprovechado para realizar multitud de compras suplantando la identidad del dueño legítimo de la cuenta", argumenta Hervé Lambert, Global Consumer Operations Manager de Panda Security.
De hecho, Panda Security señala que la clave de que los ciberdelincuentes hayan marcado ese periodo de 48 horas es que parece ajustarse al servicio de envíos en un día que tiene la Marketplace y que eso les permite tener el tiempo suficiente para recibir sus compras, sin que la víctima se haya dado todavía cuenta de que ha sido estafada.
Otras fórmulas de los ataques de phishing que suplantan a Amazon
Amazon es una de las marcas favoritas de los ciberdelincuentes para cometer ataques de phishing y en el tercer trimestre de este año fue la segunda que más utilizaron a nivel mundial, solo por detrás de Microsoft y tras reemplazar a DHL en esta posición. Por lo tanto, ha sido el gancho de otras muchas campañas que han utilizado diversas tácticas para engañar a los usuarios con fines maliciosos.
Entre ellos, se encuentra "la estafa del paquete de Amazon", de la que advirtió la Policía Nacional en febrero de 2020, o el timo del correo con una orden falsa de compra que recuerda Panda Security.
Tal y como indica, también se difunde mediante correos electrónicos en los que el remitente no es Amazon, sino que puede usar nombres como yellowamazon, yellowmarket, atenciónalclientecompras, y avisan sobre una compra realizada simulando ser el Marketplace. Visualmente es similar a las comunicaciones de Amazon, pero invita a la víctima a acceder a un link para verificar su cuenta en el caso de que no haya realizado tal compra. "La trampa está en que la URL redirecciona al usuario a una web falsa cuya única función es hacerse con el correo y la contraseña de su cuenta", advierte Hervé Lambert.
La última campaña detectada por Panda Security utiliza la fórmula de ofrecer grandes ofertas o regalos, al igual que la reportada por la Oficina de Seguridad del Internauta del INCIBE en febrero de este año, y de la que alertó ESET el pasado mes de septiembre que trataba de conseguir tarjetas de crédito. "El común denominador es enviar un correo anzuelo con descuentos o regalos e incitar a la víctima a verificar su cuenta en una web diseñada por los ciberdelincuentes o a finalizar una compra desde una plataforma externa a Amazon", apunta Panda Security.
Consejos para evitar timos y phishing
La compañía de ciberseguridad también ha ofrecido una serie de recomendaciones para ayudar a los usuarios a evitar ser víctima de estas campañas de phishing que emulan ser Amazon, y que también pueden aplicarse a otros ataques y estafas de este tipo.
- Observar con detenimiento el e-mail que se ha recibido. Aunque lleguen a aparecer logotipos de la compañía, suelen obviar cualquier referencia a información corporativa de la misma. Al igual que tampoco aparecen enlaces para darse de baja de este tipo de comunicaciones, como obliga la normativa europea del Reglamento General de Protección de Datos.
- Revisar en la bandeja de correo otro tipo de comunicaciones de la misma empresa, para comparar remitente y esquema.
- No facilitar el correo y la contraseña de Amazon a ningún usuario ni tampoco introducirlos en ninguna página que no sea la oficial. Para distinguirlas, es conveniente mirar el candado cerrado al comienzo de la URL.
- Recordar que un vendedor legítimo de la plataforma nunca te va a redirigir fuera del sitio web.
- No realizar ningún pago para reclamar premios, loterías o una tarjeta de regalo.
- Sospechar si un supuesto vendedor exige el envío de dinero en efectivo o por plataformas como Bizum o PayPal , ya que cualquier transacción que ocurra fuera de la plataforma carecerá de garantías en cuanto a la devolución del dinero.
- No responder a correos electrónicos que soliciten datos para verificar tu cuenta o tus datos bancarios. Amazon nunca pedirá información personal.
- Instalar un antivirus o antimalware y mantenlos actualizados.
- Mantener el sistema operativo actualizado y con los complementos de seguridad necesarios al día.
Qué hacer si se cree que se ha caído en este tipo de estafas
En caso de sospechar haber sido víctima de alguno de estos fraudes, la firma de ciberseguridad española aconseja, como primera actuación, cambiar la contraseña de la cuenta si se ha introducido en alguna página web extraña, y comunicarse con la empresa a través de cualquiera de sus canales oficiales para verificar si la comunicación recibida es legítima.