Amazon Prime Day. Cuidado con el phishing que se aprovecha de este evento

Llegaron los días que tantos compradores estaban esperando para hacerse con aquellos artículos que desde hace tiempo querían adquirir (o tal vez no) ahorrando de paso un buen pico. Estamos hablando de los Amazon Prime Day, que este año se celebran durante el 13 y 14 de octubre y apuntan a batir récord de ventas.

Este año, el comercio online ha experimentado un notable crecimiento, provocado principalmente por los confinamientos decretados por todo el mundo a causa de la pandemia de la COVID-19. No obstante, no debemos olvidar que los delincuentes aprovechan estas promociones para intentar conseguir nuevas víctimas, por lo que debemos ir con especial cuidado.

Suplantación de webs

Una de las técnicas más utilizadas por los delincuentes durante todo el año, pero que se intensifica en ocasiones como esta, es la creación de webs fraudulentas que se hacen pasar por la legítima, Amazon en este caso. Resulta interesante hacer un seguimiento de estas webs para observar tendencias, y un buen punto de partida es el servicio Phishunt, desarrollado y mantenido por el investigador español Daniel López.

En este servicio podemos observar los dominios que se están utilizando en ataques de phishing para engañar a los usuarios. Precisamente hoy (y con permiso de Apple por la keynote que tiene programada), Amazon es el protagonista absoluto y podemos comprobar como las webs que suplantan a la popular empresa de comercio online copan las detecciones en este servicio.

El aspecto de estas webs maliciosas puede variar bastante dependiendo de lo detallistas que sean los delincuentes a la hora de prepararlas. Un ejemplo sería esta web que, alojada en el dominio “amazon[.]uk-today-deals[.]shop” copia la plantilla de la web de Amazon UK.

Aunque por la plantilla utilizada un usuario que llegase a esa web podría pensar que se encuentra ante la página legítima (más aun si tenemos en cuenta que la web muestra un candado para ganarse la confianza de los usuarios), con tan solo revisar el certificado emitido podremos comprobar que esta web poco tiene que ver con Amazon.

Por un lado, debemos fijarnos en el dominio utilizado. Si bien incorpora “amazon.uk” en su nombre, el dominio completo debería hacernos sospechar, ya que no se corresponde con la nomenclatura utilizada por la empresa. Además, el certificado que le permite lucir el candado que certifica una conexión segura con esa web fue emitido en el día de ayer, 12 de octubre, lo cual resulta de lo más sospechoso, ya que es una prueba de que esta web se ha puesto online hace poco.

Este tipo de webs están pensadas para robar credenciales y datos de la tarjeta de crédito usados por los usuarios a la hora de efectuar sus compras, y dependerá de su sentido común y de su solución de seguridad evitar caer en la trampa de los delincuentes.

Servicios de mensajería

Los delincuentes tampoco han perdido la oportunidad de aprovechar el incremento de pedidos al comercio online y el consecuente envío de los artículos adquiridos. Por ese motivo, desde hace meses se están viendo sucesivas campañas que suplantan a diversos servicios de mensajería, responsables del envío de los paquetes.  Ya sea suplantando la identidad de Correos España o cualquier otra empresa de mensajería y utilizando emails o mensajes SMS, los delincuentes intentan que los usuarios caigan en su trampa y proporcionen los datos de sus tarjetas de crédito, sabiendo de antemano que muchos de ellos están esperando recibir algún paquete.

De hecho, esta misma mañana hemos observado como se estaba volviendo a propagar un correo suplantando la identidad de Eurosender, una plataforma digital que proporciona servicios de logística a todo tipo de empresas.

Como en ocasiones anteriores, se utiliza un artículo de elevado coste como gancho para hacer creer a los usuarios que van a recibir un móvil de alta gama a cambio de pagar únicamente 1 € en concepto de gastos de envío. Esta técnica puede parecer rudimentaria e incluso cuesta creer que aún haya gente que caiga en esta trampa, pero su reutilización en varias campañas durante los últimos meses demuestra que sigue siendo efectiva.

Al final, lo que se persigue con estas campañas es obtener datos personales, más concretamente los datos de la tarjeta de crédito de aquellos incautos que realmente crean que alguien les va a regalar un smartphone de alta gama solo por pagar los gastos de envío. Lo más leve que les puede suceder es que utilicen esta información para suscribirles a algún tipo de pago periódico asociado a un servicio no solicitado, pagos que, por regla general, resultan bastante complicados de cancelar.

También en las últimas horas se están enviando mensajes SMS haciéndose pasar por Correos España indicando problemas a la hora de realizar una entrega de un paquete, invitando al usuario a indicar una dirección de entrega válida y pagar un sobrecargo en concepto de coste de envío adicional.

El enlace acortado incluido en el SMS dirige a una web que utiliza el logotipo oficial de Correos España, pero que no tiene nada que ver con esta empresa. Tras introducir datos personales como el nombre y apellidos, dirección postal y teléfono, se nos solicitan los datos de la tarjeta de crédito para, supuestamente, realizar el nuevo cobro. Sin embargo, una vez obtenidos estos datos, los delincuentes procederán a sustraer todo el dinero que puedan hasta que la víctima se dé cuenta, o a utilizar esa tarjeta para adquirir bienes y servicios a cargo de la víctima.

Conclusión

Como acabamos de ver, los delincuentes no pierden la oportunidad de tratar de conseguir nuevas víctimas aprovechando la vorágine consumista en comercios online que suele producirse en eventos como el Amazon Prime Day. Está en nuestras manos evitar que consigan su objetivo, aprendiendo a reconocer sus técnicas de engaño y contando con una solución de seguridad que pueda identificar cuándo estamos ante un caso de phishing.

Josep Albors