¿Cupones regalo de Amazon y Aldi o nuevo engaño con forma de encuesta?

| 14 Jun, 2016 | Ciberamenazas | 26 comentarios

voucher_amazon

A lo largo de los últimos años hemos analizado varios correos que simulaban ser premios obtenidos en conocidos comercios o artículos de marcas con cierto prestigio. Así pues hemos visto correos que supuestamente nos infromaban del regalo de un producto Samsung o Apple, otras que detectaban nuestra localización aproximada, algunas que aprovechaban fechas señaladas como San Valentín e incluso algunas que se aprovechaban del éxito de la serie del momento.

Esta estrategia ha ido evolucionando a lo largo de los años hasta convertirse en las encuestas enviadas a través de enlaces de WhatsApp que se hacen pasar por comercios como Mercadona, McDonald’s, Burger King o Zara, entre otras.

El regreso de un clásico

El uso de servicios de mensajería como WhatsApp no ha hecho que desaparezca el envío masivo de correos electrónicos utilizando supuestos premios como gancho. Durante los últimos días hemos visto como se han vuelto a observar varias de estas campañas que utilizan el nombre de empresas como Amazon o Aldi.

amazon_aldi1

Ejemplos de correos recibidos con los supuestos regalos de Amazon y Aldi

En estos correos podemos ver como, supuestamente, hemos resultado ganadores de un premio en uno de estos comercios. Para reclamar este premio debemos seguir los pasos indicados en las instrucciones de este coreo pero parece claro que lo primero que intentan es que pulsemos sobre el botón que se nos proporciona.

Este botón, y cualquier otro enlace del correo nos redirige a una página web en la que se nos invita a inscribirnos con nuestro correo electrónico para poder reclamar este supuesto premio. Sin embargo, si nos paramos a revisar estas webs observaremos varios detalles que harán dudar a los usuarios más desconfiados.

Para empezar, podemos comprobar que, en caso de no aceptar las condiciones de uso o de no dar consentimiento para el tratamiento de los datos personales proporcionados con empresas de terceros, además de suscribirnos a un boletín de ofertas que se traduce en más spam en nuestra bandeja de entrada.

Además, podemos ver como se indica en la esquina inferior izquierda que ni Amazon ni Aldi son organizadores o colaboradores de este concurso. Es probable que hayan querido indicar este punto para evitar problemas legales con estas empresas, aunque el mero uso de usar su imagen sin su permiso ya podría meterles en problemas.

amazon_aldi4

Ejemplo de página web con la promoción de Amazon pidiendo aceptar las condiciones

amazon_aldi3

Ejemplo de página web con la promoción de Aldi pidiendo aceptar las condiciones

Si seguimos con el proceso veremos como se nos pregunta si queremos aceptar otras promociones proporcionadas por empresas afiliadas. Esto no significa que las empresas anunciadas sean conscientes de que se está usando su nombre de esta forma, puesto que la empresa responsable de este tipo de publicidad podría estar realizando estas acciones sin el consentimiento de las empresas anunciantes.

amazon_aldi2

Los pasos siguientes continúan insistiendo en que nos suscribamos a múltiples servicios de información de ofertas similares por lo que la finalidad queda clara: incorporar nuestro email y otros datos personales a las bases de datos de empresas que se dedican a enviar spam de este tipo a los usuarios.

¿Es esto legal?

La pregunta que muchos nos hacemos cuando recibimos este tipo de correos y vemos por donde van los tiros es si este tipo de envíos son legales o no. La verdad es que la mayoría de las empresas dedicadas al envío de este tipo de correos se mueven en una zona gris en la que es difícil decir a ciencia cierta que se trata de una actividad que esté considerada como delictiva.

De hecho, si pulsamos en la opción que nos da acceso a repasar las condiciones legales, lo primero que leemos es que nuestros datos personales serán enviados tanto al organizador de este supuesto sorteo como a sus socios y patrocinadores.

amazon_aldi5

Conclusión

Así las cosas, lo mejor para evitar que nuestros datos terminen en un una base datos de empresas comerciales que envían spam de este tipo junto con los de varios miles de usuarios más es descartar este tipo de correos  tan pronto como los veamos en nuestra bandeja de entrada.

De esta forma evitamos que este tipo de molestos correos sigan propagándose ya que, si no tienen una base de usuarios que vender su negocio se termina y cesa el envío de correos que lo único que consiguen es que perdamos el tiempo.

Josep Albors

Related Posts

Sobre el Autor

Josep

Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.

26 Comentarios
  1. david

    ¿cómo va a ser spam si se incriben voluntariamente?

  2. Josep Albors

    Hola David,

    El problema es que el mensaje original se recibe sin estar inscrito previamente a ninguna de estas supuestas «ofertas».

    Saludos.

  3. david

    ¿como que se hacen pasar por Mercadona, McDonald’s, Burger King o Zara…? Trabajan con los programas de afiliacion de dichas empresas…

  4. david

    «el mensaje original se recibe sin estar incrito previamente» que yo sepa eso se puede hacer una vez, pero luego tienen que facilitar para desinscribirse. Eso es como recibir propaganda no solicitada en el buzon de casa. A parte, una vez recibes ese primer mensaje y segun tu screenshot, pueden voluntariamente darse de alta en DKV, Sanitas, Adeslas etc… Algunos lo haran porque estaran interesados, otros no.

  5. david

    Entonces, para que te van a pedir tu email mediante spam si precisamente has recibido la propaganda se supone que ya tienen tu email en los supuestos que los recibas por ahí.

  6. Josep Albors

    Al contrario de lo que pueda parecer, las empresas mencionadas no tiene relación con estas campañas de propagación de spam. Es más, los que envían estos correos intentan cubrirse las espaldas indicando que esas empresas ni organizan ni patrocinan este tipo de concursos que, por otra aprte, nunca entregan el premio prometido.

  7. Josep Albors

    Por mucho que el usuario no acepte inscribirse en alguno de los servicios proporcionados, seguirá recibiendo emails no deseados sin posibilidad de anular su suscripción. Tenemos varias cuentas de correo con las que hemos realizado pruebas y este tipo de spam no hace más que aumenter a pesar de no seleccionar las opciones proporcinadas.

    Hay que diferenciar entre el email comercial tradicional y estas técnicas que aprovechan cierto vacio legal existente, a pesar de que algunas empresas ya han sido condenadas a pagar multas por usar estos métodos. Desde el mismo momento que estas empresas llegan a utilizar incluso técnicas de spoofing para engañar al usuario y tratar de convencerle de que el mensaje proviene de un remitente de confianza algo huele mal…

  8. david

    No tiene sentido. Si esas empresas obtienen con esas promociones miles de usuario les sale mas a cuenta simplemente hacer un sorteo y entregar lo prometido. Con los miles de usuarios ya compensaran. ¿para que engañar si así incluso pueden fidelizar y no te persigue la poli? Es absurdo.

  9. Josep Albors

    Es sencillo, puesto que muchas de estas empresas buscan obtener los datos de los usuarios engañados para incorporarlos a sus basos de datos y lanzar otro tipo de ataques como suplantación de identidad o ataques dirigidos para robar credenciales de acceso a servicios online.

    Las encuestas son solo un medio para conseguir estos datos personales, no la finalidad de las redes que organizan estas campañas de envío de spam.

  10. david

    Otra vez el pishing. Pues tal como lo dices, son idiotas. Porque algo parecido se puede hacer bien hecho y todo legal con los permisos correspondientes. Se pueden conseguir miles (y millones) de direcciones email mediante campañas ppc, cpa, afiliación etc mediante sus correspondientes keywords y reinvirtiendo, todo de forma ética y legal. Son estúpidos. Y tarde o temprano les van a pillar.

  11. david

    PD: Tan solo hay que ofrecer lo que los usuarios buscan en internet en las campañas ppc, cpa etc…

  12. Marta M.

    Algunos trabajamos 13-15 horas diarias haciendo promociones similares pero legalmente, con sorteos reales, entregando lo prometido, con campañas éticas proporcionando lo que los usuarios buscan en la red como que para después nos encontremos con artículos como este metiéndonos todos en el misma saco. No me parece de justícia. No hubiera estado mal indicar en su artículo que algunos somos honestos.

  13. Jorge

    Al entrar en su artículo, veo que ustedes usan HTML5 canvas image data para identificar el ordenador. Incluso si se desaprueba los cookies. Esto es una mala práctica que invade la privacidad ilegalmente.

  14. Josep Albors

    Hola David,

    Estamos de acuerdo contigo puesto que hay maneras mucho más éticas (y legales) de realizar este tipo de promociones que peuden ser beneficiosas tanto para el anunciante como para el usuario. De la misma forma, existen muchos profesionales que se dedican a este trabajo y que no tienen relación alguna este tipo de actividades.

    Saludos.

  15. Josep Albors

    Hola Marta,

    En ningún momento pretendíamos meter a todo el mundo en el mismo saco y, precisamente, lo que queremos es denunciar este tipo de correos con campañas fraudulentas para que los usuarios sepan identificarlos y separarlos de las campañas de publicidad real. Si crees que hay algúna frase o comentario que no es correcta, estaremos encantados de escuchar tus sugerencias y mejorar el artículo en la medida de lo posible.

    Saludos

  16. Josep Albors

    Hola Jorge,

    Agradeceríamos que nos indicases en que punto en concreto de nuestro blog se está realizando esa mala práctica que indicas y que ley incumple, puesto que la privacidad es algo que nos tomamos muy en serio.

    Saludos.

  17. Josep Albors

    Hola David,

    El elmail solo es uno de los muchos datos que te solicitan, entre los que se encuentran nombre, apellidos, lugar de residencia y número de teléfono. Además está toda la información que obtienen sobre los gustos y preferencias de los usuarios cuando estos responden las encuestas, información que luego pueden revender.

    Hay que tener en cuenta que somos varios los que estamos avisando de estos mensajes fraudulentos, entre los que se encuentra también la Policía Nacional
    https://twitter.com/policia/status/742271803440041985/photo/1

    La Oficina de Seguridad del Internauta
    https://twitter.com/osiseguridad/status/742250519935225856/photo/1

    Y el Ministerio de Interior:
    https://twitter.com/interiorgob/status/742366141788655616/photo/1

  18. Jorge

    Pues aparece nada mas entrando en esta web, por lo tanto tambien accediendo a este artículo. Lo puede observar accediendo desde el navegador Tor actualizado y permitiendo script. Le aparecerá un globo con el aviso. Lo que hace es identificar la computadora mediante HTML5 canvas data fingerprinting sin permiso. Invade la ley de privacidad al realizar dicho proceso sin consentimiento.

    http://hipertextual.com/2016/02/canvas-fingerprinting-rastreo

    http://www.genbeta.com/actualidad/canvas-fingerprinting-como-evitar-ser-rastreado-y-monitorizado-por-todo-internet

  19. Josep Albors

    Hola Jorge,

    Entendemos tu preocupación pero te podemos asegurar que el único seguimiento que se hace es el de las cookies que cuentan visitas para Google Anlaytics, de lo cual se informa debidamente en el mensaje que aparece cuando accedes al blog.

    Respecto a porqué Tor Browser te indica la utilización de HTML5 Canvas data fingerprinting, se trata de un falso positivo bastante extendido y muy sencillo de explicar. En nuestro blog, y en la mayoría de sitios que usan WordPress como gestor de contenido, se introdujeron cambios de forma automática en el código cuando WordPress se actualizó a la versión 4.2, que mejoraba el soporte para emoticonos. Estos cambios incluían la inclusión de código JavaScript que realizaba una llamada para crear y manipular un elemento HTML5 Canvas. Por ese motivo vas a encontrar ese aviso por parte de Tor Browser en cualquier blog que haya actualizado a una versión 4.2 de WordPress o superior y no haya eliminado manualmente esas líneas de código por considerarlas útiles para la mayoría de usuarios que visiten el blog.

    Esperamos haber aclarado tus dudas.

    Saludos.

  20. Jorge

    Aja. El problema es que en general quien se da cuenta por usar el Tor u otra forma, no sabe realmente si son esos emoji u otra cosa. En mi opinion, los quitaría y buscaria alternativas.

    Por si acaso, en el fichero functions.php de la plantilla (theme) añadir lo siguiente:

    remove_action( ‘wp_head’, ‘print_emoji_detection_script’, 7 );
    remove_action( ‘wp_print_styles’, ‘print_emoji_styles’ );

  21. Jorge

    PD: para quien esté interesado.

  23. Josep Albors

    Hola Jorge,

    Esas son las líneas de código que te comentábamos en la respuesta anterior. De momento las hemos dejado porque hay usuarios que utilizan esa funcionalidad pero tomamos nota por si decidimos eliminarlas en un futuro.

    Saludos.

  24. Jorge

    PD3: Este es el que he metido en una de mis páginas web y funciona correctamente. El código completo:

    http://wordpress.stackexchange.com/questions/185577/disable-emojicons-introduced-with-wp-4-2

  25. Jorge

    Ok, saludos

  26. Josep Albors

    Muchas gracias Jorge.

    Lo tendremos en cuenta.

    Saludos

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..