Nuevo caso de phishing: Amazon no organiza un concurso con regalos para sus miembros

Es una estafa que consiste en usar un supuesto concurso de Amazon para acceder a datos de los usuarios


Nos hacéis llegar un mensaje que estos días se está compartiendo por WhatsApp para que verifiquemos si realmente se trata de un concurso con regalos para los miembros de Amazon. Desde Verificat, hemos comprobado que es FALSO. 

Seguidamente, explicaremos las evidencias que nos han llevado a destapar de una forma sencilla que se trata de una estafa, con la ayuda de los consejos de la misma Amazon para detectar si un mensaje supuestamente enviado por esta plataforma es un caso de phishing. 

Según Mossos d'Esquadra, el phishing o pesca “consiste en el envío de mensajes de correo electrónico que normalmente redirigen al usuario hacia páginas falsas para conseguir sus datos bancarios, o robar los datos que se utilizan para iniciar la sesión en la página web legítima”.

1. La dirección del sitio web

El mensaje habla del “Día de los miembros de Amazon” e incita a clicar el enlace en un sitio web para comprobar si el receptor ha ganado un “regalo gratuito”. La dirección en cuestión (www.dvbhd.cn) ya es una primera evidencia de que estamos ante una estafa porque no tiene nada que ver con Amazon y, además, a pesar de estar en castellano se usa el dominio .cn (República Popular China).

Amanzon dice: “Los enlaces a sitios web legítimos de Amazon empiezan por https://www.amazon.es o su equivalente si visitas un sitio web internacional de Amazon (por ejemplo, https://www.amazon.fr si estás en un lugar en francés). Los sitios web legítimos de Amazon tienen un punto antes de "amazon.es", como, por ejemplo, https://www."Algo".amazon.es o "algunacosa".amazon.co.uk. Por ejemplo, Amazon Pay es https://pay.amazon.es. El texto antes del punto nunca será una dirección IP (cadena de números), como http://123.456.789.123/amazon.es/.

2. Demanda de datos personales

La página que se abre si clicamos en el enlace está encabezada por el logo de Amazon. Seguidamente, encontramos una ruleta que podemos hacer girar con un clic. Desde Verificat, hemos hecho la prueba y, teóricamente, hemos ganado un iPhone 12, a pesar de que no hemos seguido con el proceso para acceder al premio porque es dónde, en este tipo de estafas, se piden los datos de los usuarios.

Sobre la petición de datos, hay que tener presente que Amazon asegura en su web que “nunca solicitará información personal por correo electrónico. Amazon nunca te pedirá que actualices la información de pago que no esté vinculada a un pedido de Amazon que hayas realizado o con un servicio de Amazon a que te hayas subscrito”. Es decir, este mecanismo para pedir los datos fuera de tu cuenta de usuario no es el protocolario de la empresa y, por lo tanto, no se considera seguro.

3. Presencia de elementos engañosos

A pesar de que las estafas cada vez son más sofisticadas y, por lo tanto, cada vez es más fácil distinguir un e-mail o SMS fraudulento de uno de auténtico, como reconoce la misma Amazon, en la mayoría de estos mensajes hay elementos falsos o engañosos fácilmente comprobables. Por ejemplo, en este caso, se hace referencia a un “Día de los miembros de Amazon” que, en realidad, no existe. Lo más parecido es el “Prime Day”, una jornada con descuentos especiales para los subscriptores de Amazon Prime. 

En este caso concreto y para tratar de dar credibilidad a la estafa, en la web también encontramos una serie de mensajes que simulan los comentarios que se pueden dejar en las publicaciones de Facebook de personas que, supuestamente, han participado ya en el concurso. Hemos buscado en Facebook el perfil de algunas de las personas que aparecen como participantes en el concurso y han dejado comentarios en castellano, y descubrimos que la mayoría son indios residentes en ciudades como Mumbai o Calcuta y relacionados con la industria cinematográfica. Por lo tanto, el hecho de que los ganadores de un concurso planteado en castellano vivan en India es un indicio que nos tiene que hacer sospechar que estamos ante una estafa.

En el web de Mossos d'Esquadra hay consejos y recomendaciones para evitar las estafas de phishing que incluyen la redirección a páginas falsas.