«Confirmación del pedido» Utilizan correo suplantando a Amazon para obtener tu tarjeta de crédito

No cabe duda de que Amazon es una de las empresas preferidas por los delincuentes a la hora de usarla como gancho en campañas de suplantación de identidad. La popularidad de esta compañía y la cantidad de pedidos que se realizan a diario hace que el número de víctimas potenciales sea especialmente elevado, por lo que no es extraño encontrarnos con campañas como la que vamos a analizar a continuación cada cierto tiempo.

Confirmación del pedido

Durante los últimos meses hemos visto numerosos ejemplos en los que los delincuentes han usado el nombre de Amazon. Desde phishing aprovechando fechas especiales como el Prime Day hasta la propagación de troyanos bancarios utilizando cupones como gancho, pasando por supuestas suscripciones a servicios de Amazon, regalo de costosos smartphones e incluso sospechosas campañas de inversión en esta empresa.

En esta ocasión nos encontramos con un correo que simula la confirmación de un pedido realizado a Amazon, con una fecha de entrega y número de pedido para tratar de hacerlo más creíble para el usuario que lo reciba.

Sin embargo, cualquiera de los enlaces sobre los que podemos pulsar redirigen a una web que nada tiene que ver con Amazon y que nos mostrará un aviso de que hemos sido seleccionados para recibir un premio. A cambio, tan solo debemos rellenar una sencilla encuesta antes de que expiren los cinco minutos de tiempo que nos proporcionan.

Las preguntas que se realizan en esta encuesta son sencillas y tienen relación con la edad, sexo, hábitos de consumo y satisfacción con el servicio prestado por Amazon. Su finalidad no es otra que otorgar cierta legitimidad a esta encuesta para que el usuario que acceda a esta web se confíe y piense que realmente ha sido agraciado con un premio. No obstante, recordemos que se ha accedido mediante un enlace que, supuestamente, proporcionaba información sobre un pedido.

Al final de esta encuesta se nos muestran los supuestos premios a los que tenemos derecho. También se nos muestra un precio simbólico del artículo por debajo de su valor real, imaginamos que para resaltar la gran oportunidad que se nos ofrece. Para conseguirlo se nos indica que pulsemos sobre el botón correspondientemente nombrado como “Consigue mi recompensa”.

Obtención de datos

Una vez hemos llegado al apartado preparado para reclamar nuestro supuesto premio, es cuando se desvela dónde está la trampa. Al elegir uno de los artículos ofrecidos como premio vemos como se nos solicita introducir nuestros datos personales, entre los que se incluyen nombre, apellidos, dirección, teléfono y email.

A continuación, se nos piden los datos de nuestra tarjeta de crédito para poder realizar el pago de una pequeña cantidad. La realidad, sin embargo, es que una vez hayamos introducido estos datos se nos empezarán a realizar cargos a nuestra tarjeta de cantidades nada despreciables, muchas veces asociadas a servicios que no hemos solicitado y de los cuales cuesta bastante darse de baja.

Esta técnica de suscripción a servicios no deseados y excesivamente caros es algo que viene realizándose por empresas sin escrúpulos desde hace tiempo. Se aprovechan de la reputación de empresas muy conocidas para, haciéndose pasar por ellas, tratar de conseguir nuevas víctimas que caigan en la trampa, por lo que debemos ir con especial cuidado y leer siempre la letra pequeña antes de dar alegremente nuestros datos personales o los de nuestra tarjeta de crédito.

Conclusión

Este tipo de campañas no son nada nuevo, pero siguen produciéndose cada cierto tiempo, lo que demuestra que aún siguen cayendo un importante número de usuarios y compensa realizarlas. Como usuarios debemos desconfiar de estas comunicaciones no oficiales, revisando siempre quién es el remitente o a dónde nos quieren dirigir los enlaces y, ante posibles dudas, acudir a la web oficial de la empresa y, accediendo con nuestra cuenta, revisar si realmente tenemos algún pedido pendiente de entrega.

Josep Albors

“Suspensión de cuenta”: Phishing del BBVA se propaga usando mensajes SMS