El correo falso (pero creíble) que suplanta Amazon para robar tu tarjeta de crédito

El auge de las compras 'online' durante la pandemia tiene como reverso tenebroso el aumento de campañas que suplantan a los principales comercios electrónicos y empresas logísticas para hacerse con los datos de los clientes o robarles su dinero. La compañía de ciberseguridad ESET ha detectado una en la que los ciberdelincuentes se hacen pasar por Amazon y que es especialmente peligrosa, no sólo porque tiene el potencial de llegar a cientos de personas, sino además porque los mensajes que reciben los usuarios se parecen mucho a las comunicaciones oficiales de la plataforma.

Todo empieza con un correo electrónico en el que los ciberdelincuentes prometen a sus víctimas un regalo a cambio de completar una encuesta. "Gracias por tu pedido en Amazon Marketplace. Eres uno de nuestros clientes seleccionados para recibir más de 400 obsequios". Tanto el formato del correo como los colores y botones utilizados son idénticos a los que usa Amazon para notificar, por ejemplo, el envío de un pedido, de forma que es muy fácil confundir este correo con uno legítimo. Además, la dirección del remitente también invita a engaño, al incluir la palabra Amazon, seguida de una serie numérica. Por ejemplo: amazon-038684693@support.com.

En caso de pulsar sobre alguno de los enlaces del correo, se redirigirá al usuario a una web con sencillas preguntas, en la que aparecen también comentarios de supuestos ganadores anteriores para hacer más creíble el engaño. Una vez completado el cuestionario, se abre otra web en la que se muestran varios regalos disponibles: un iPhone 12 Pro, un Samsung Galaxy S21 y un aspirador vertical Dyson.

El siguiente paso es una nueva pantalla en la que puede verse el regalo elegido —con el precio original tachado— cargado en una cesta de Amazon. En apariencia, se distingue muy poco de la web de Amazon, pero la URL es muy diferente a la del gigante del comercio electrónico. La del ejemplo compartido por ESET es la siguiente: https://newsinfobest.shop. Si el usuario no advierte esta pista y hace clic en 'validar mi regalo' llegará a una nueva página en la que se piden sus datos personales (nombre, apellidos, dirección, código postal, ciudad, teléfono y correo electrónico).

Tras rellenar estos campos, llega el momento clave de la estafa. Bajo la premisa de que se requiere un pago de dos euros a modo de gastos de envío, la web solicita los datos de la tarjeta bancaria (número, fecha de caducidad y código CVV). Como es habitual en este tipo de fraudes, se advierte de que la oferta tiene un tiempo limitado para que el usuario se sienta presionado y actúe con rapidez, sin detenerse demasiado a pensar en lo que está haciendo.

La pandemia, un hervidero de fraudes

Los consumidores no siempre son las víctimas. Con los almacenes colapsados y los transportistas desbordados durante los meses más duros de la pandemia, también ha repuntado el 'fraude del artículo no recibido', llevado a cabo por clientes que aseguran no haber recibido su pedido para exigir una devolución del dinero o una compensación que les permita adquirir otros productos.

De acuerdo con 'The Wall Street Journal', en Estados Unidos hay incluso quien contrata a estafadores profesionales que investigan las políticas de reembolso y conocen los vacíos legales de las empresas. En sus redes sociales presumen de sacar reembolsos de hasta 20.000 dólares a empresas como Amazon, Walmart o Target Corporation. Si les funciona es porque es difícil demostrar que un paquete se ha entregado en la dirección correcta, sobre todo teniendo en cuenta que de un tiempo a esta parte algunos repartidores dejaron de exigir firma a los clientes.