Nou cas de phishing: Amazon no organitza un concurs amb regals pels seus membres

Nou cas de phishing: Amazon no organitza un concurs amb regals pels seus membres

Ens feu arribar un missatge que aquests dies s’està compartint per WhatsApp perquè verifiquem si realment es tracta d’un concurs amb regals per als membres d’Amazon. Des de Verificat, hem comprovat que és FALS. 

Seguidament, explicarem les evidències que ens han portat a destapar d’una forma senzilla que es tracta d’una estafa, amb l’ajuda dels consells de la mateixa Amazon per detectar si un missatge suposadament enviat per aquesta plataforma és un cas de phishing. 

Segons Mossos d’Esquadra, el phishing o pesca “consisteix en l’enviament de missatges de correu electrònic que normalment redirigeixen l'usuari cap a pàgines falses per aconseguir les seves dades bancàries, o robar les dades que s'utilitzen per iniciar la sessió en la pàgina web legítima”.

1. L’adreça del lloc web

El missatge parla del “Dia dels membres d’Amazon” i incita a clicar l’enllaç a un lloc web per comprovar si el receptor ha guanyat un “regal gratuït”. L’adreça en qüestió (www.dvbhd.cn) ja és una primera evidència que som davant d’una estafa perquè no té res a veure amb Amazon i, a més, tot i ser en castellà s’usa el domini .cn (República Popular de la Xina).

Amanzon diu: “Els enllaços a llocs web legítims d'Amazon comencen per https://www.amazon.es o el seu equivalent si visites un lloc web internacional d'Amazon (per exemple, https://www.amazon.fr si estàs al lloc en francès). Els llocs web legítims d'Amazon tenen un punt abans d'"amazon.es", com, per exemple, https://www."Alguna cosa".amazon.es o "algunacosa".amazon.co.uk. Per exemple, Amazon Pay és https://pay.amazon.es. El text abans del punt mai serà una adreça IP (cadena de números), com http://123.456.789.123/amazon.es/.

2. Demanda de dades personals

La pàgina que s’obre si cliquem l’enllaç està encapçalada pel logo d’Amazon. Seguidament, hi trobem una ruleta que podem fer girar amb un clic. Des de Verificat, hem fet la prova i, teòricament, hem guanyat un iPhone 12, tot i que no hem seguit amb el procés per accedir al premi perquè és on, en aquest tipus d’estafes, es demanen les dades dels usuaris.

Sobre la petició de dades, cal tenir present que Amazon assegura al seu web que “mai sol·licitarà informació personal per correu electrònic. Amazon mai et demanarà que actualitzis la informació de pagament que no estigui vinculada a una comanda d'Amazon que hagis realitzat o amb un servei d'Amazon a què t'hagis subscrit”. És a dir, aquest mecanisme per demanar les dades fora del teu compte d’usuari no és el protocol·lari de l’empresa i, per tant, no es considera segur.

3. Presència d’elements enganyosos

Tot i que les estafes cada cop són més sofisticades i, per tant, cada cop és més fàcil distingir un e-mail o SMS fraudulent d’un d’autèntic, com reconeix la mateixa Amazon, en la majoria d’aquests missatges hi ha elements falsos o enganyosos fàcilment comprovables. Per exemple, en aquest cas, es fa referència a un “Dia dels membres d’Amazon” que, en realitat, no existeix. El més semblant és el “Prime Day”, una jornada amb descomptes especials per als subscriptors a Amazon Prime. 

En aquest cas concret i per tractar de donar credibilitat a l’estafa, al web també hi trobem una sèrie de missatges que simulen els comentaris que es poden deixar a les publicacions de Facebook de persones que, suposadament, han participat ja en el concurs. Hem buscat a Facebook el perfil d’algunes de les persones que apareixen com a participants en el concurs i n’han deixat comentaris en castellà i descobrim que la majoria són indis residents a ciutats com Mumbai o Calcuta i relacionats amb la indústria cinematogràfica. Per tant, el fet que els guanyadors d’un concurs plantejat en castellà visquin a l’Índia és un indici que ens ha de fer sospitar que estem davant d’una estafa.

A la web de Mossos d’Esquadra hi ha consells i recomanacions per evitar les estafes de phishing que inclouen la redirecció a pàgines falses.