A lo largo de los años hemos visto muchos tipos de correos sospechosos o directamente maliciosos que utilizan todo tipo de ganchos para atraer la atención de los usuarios. Una de las temáticas más utilizadas es aquella que ofrece un regalo o premio de un valor considerable haciéndose pasar por una empresa con buena reputación y que, tal y como vamos a analizar en el día de hoy, no es lo que parece.
El correo de Amazon
Todo empieza con la recepción de un email que, supuestamente, proviene de Amazon, algo que es fácil de descartar si nos fijamos en el detalle del remitente y su nula vinculación con esta empresa de reconocido prestigio. El caso es que, si el usuario solo se fija en el cuerpo del mensaje, es bastante probable que solo se centre en la parte donde pone que hay un envío de un teléfono de alta gama a su nombre y que, para recibirlo, solo ha de pagar una pequeña cantidad de dinero.
Este email, por sí mismo, ya debería activar muchas señales de alarma en aquellos usuarios que lo reciban. No solo por la dirección del remitente o por el enlace al que redirige el botón “Continuar” (de nuevo sin vinculación alguna con Amazon), sino por lo improbable que resulta que se nos realice un envío de un móvil de estas características sin haberlo solicitado y que, de haberse realizado realmente, es más que probable que fuera reclamado a los pocos días de recibirlo.
En caso de que el usuario muerda el anzuelo será redirigido a una web que no tiene relación con Amazon pero que usa su logo para tratar de ser más convincente. Es en esta web donde se nos indica que se ha devuelto dos veces un supuesto envío a nuestro nombre al centro de distribución más cercano por un error en la dirección de envío, y que tan solo disponemos de una última oportunidad para proporcionar una dirección de entrega válida.
Si pulsamos sobre el botón continuar enlazaremos con una serie de pasos supuestamente dirigidos a concretar la entrega del pedido donde se nos pregunta, por ejemplo, la dirección en la que queremos recibir el paquete y en qué rango de horarios. Seguidamente se nos invita a proceder a confirmar nuestros datos, no sin antes indicarnos que solo disponemos de 48 horas para realizar los cambios pertinentes.
En este punto se nos muestra una nueva web donde ya podemos observar el smartphone que, supuestamente, viene de camino, con sus características e incluso dejándonos elegir el color. También se nos pide confirmar nuestros datos personales con el nombre, apellidos, dirección postal, número de teléfono y email. Una vez completados estos datos, se nos invita a continuar con el proceso en el paso final.
En este último paso es donde se nos solicita la información de nuestra tarjeta de crédito para abonar la cantidad de 1,50€ que, supuestamente cuesta el envío de este smartphone, aunque, como veremos a continuación, todo esto tiene letra pequeña y el coste será mucho mayor si no andamos con cuidado, por no decir que casi con total seguridad nos podemos ir despidiendo del móvil.
No es oro todo lo que reluce
Si al llegar a este punto aún hay alguien que confíe en recibir un smartphone de gama alta por haber pagado 1,50€ en concepto de gastos de envío, lamentamos decirle que las probabilidades de que esto suceda son ínfimas. Pero antes, vamos a repasar ciertos aspectos que nos han llamado la atención de toda esta sucesión de webs que acabamos de ver.
En total, los usuarios que sigan los pasos indicados inicialmente por el email recibido contactarán con un total de tres dominios, cada uno de ellos encargado de alojar una o varias de las webs que hemos revisado. Algunos de estos dominios llevan registrados pocos días, lo que indica que podrían haber sido creados para esta campaña u otras similares.
Es importante destacar que estas webs disponen de un certificado válido y que por eso aparece el conocido candado verde en la barra de direcciones. Esto no significa que la web sea segura o legítima, tan solo que la conexión entre nuestro dispositivo y esa web lo es. Recordamos este punto porque aún hay muchos usuarios que confunden el significado de este candado verde pensando que garantiza que la web es segura cuando no es así.
Además, si nos fijamos en ciertos detalles veremos como todo este proceso huele bastante mal desde el mismo momento en el que aparecen ciertas cláusulas en las webs que visitamos. Estas cláusulas aparecen primero medio escondidas en la parte de arriba de la web con un color poco visible, pero las podemos ampliar y sombrear para poder leerlas mejor.
Si leemos esta clausula comprobaremos que el smartphone mencionado no se trata de ningún regalo, sino de un sorteo entre nuevos clientes de su servicio de suscripción (todos aquellos que se registren con los formularios que hemos visto y abonen la cantidad de 1,5€). Además, tras el periodo de prueba de 3 días se empezará a cargar cada dos semanas la cantidad de 39.99€ en la tarjeta de crédito proporcionada.
La misma información se puede leer de forma un poco más clara en la web donde se nos invita a introducir los datos de nuestra tarjeta de crédito y, aunque se mencione la posibilidad de cancelar los pagos y de anular esta suscripción, por experiencia con casos anteriores, este mecanismo es engorroso y muchos usuarios desisten de reclamar los pagos ya realizados.
Conclusión
Aunque no nos encontremos ante una campaña de propagación de malware, el uso no autorizado de marcas como Amazon no está justificado. Tampoco el engaño al afirmar que se nos va a regalar un smartphone de gama alta cuando, en realidad, solo se accede a un supuesto sorteo de dicho dispositivo tras registrarnos en un servicio de suscripción. Todo esto es motivo más que suficiente para alertar a los usuarios para evitar que caigan en este tipo de estrategias preparadas por empresas sin escrúpulos en busca de incautos que se crean que han sido los afortunados receptores de un smartphone de gama alta (o un artículo similar).