Des mica més d'un any, totes les pàgines web que volen ser susceptibles de indexar en el cercador de Google han d'utilitzar el protocol https, un protocol de seguretat que ha diferència de l'tradicional http, ens ofereix xifrat d'extrem a extrem en totes les dades que s'envien als servidors on es troba la pàgina web.
Això moviment per part de Google, per incrementar la seguretat d'internet, sumat al fet que tots els navegadors ens mostren un missatge de perill quan vam visitar un web en format http, han obligat els amics del que aliena a utilitzar altres estratègies per intentar enganyar als usuaris més confiats. Avui parlem de el nou mètode que estan utilitzant per estafar via SMS fent-se passar per Amazon.
L'intent d'estafa comença quan vam rebre un SMS, suposadament d'Amazon, En el qual ens informa que hem estat els afortunats guanyadors d'una rifa que ha organitzat Amazon per celebrar el seu aniversari i ens convida a prémer en un enllaç per poder aconseguir-ho, un enllaç no segur http sense la s com podeu veure a la imatge superior.
A l'prémer a l'enllaç, se'ns mostra una pàgina web amb el logotip d'Amazon, fent ús de https, I amb un disseny molt diferent a què ens ofereix el gegant de les recerques. El text d'aquest enllaç ens informa que setmanalment seleccionen a 10 clients d'Amazon per agrair-los la confiança que dipositen en els seus productes i serveis i convidant-nos a contestar tres preguntes per veure si tenim sort.
A l'respondre a aquestes tres preguntes, ens informa que hem estat els afortunats guanyadors d'un iPhone XS. Per poder rebre-ho, donar per fet que som usuaris d'Amazon encara que no sigui cert, hem d'introduir les dades del nostre compte d'Amazon per pagar els 2 euros de despeses d'enviament.
A l'utilitzar el web el protocol https, el navegador en cap moment detectarà que es tracta d'un possible phishing, que és el que realment és, pel que ens deixarà introduir les dades sense cap tipus de problema.
Sol·licita les dades del nostre compte d'Amazon
A l'introduir les nostres dades, es mostrarà una altra pàgina web en la qual se'ns informa que la verificació s'ha realitzat amb èxit i que per poder rebre el producte, hem de verificar quina és la nostra edat (si no tenim més de 18 anys, mala sort) , fent ús de la nostra targeta de crèdit. És a dir, no només tracten de robar-nos el nostre compte d'Amazon, sinó que a més, també volen les dades de la nostra targeta de crèdit.
Si hem introduït les dades del nostre compte d'Amazon, l'únic que hem aconseguit és donar-li accés als estafadors per la qual cosa hem d'accedir ràpidament al nostre compte d'Amazon i canviar la contrasenya.
Saltant-se la seguretat dels navegadors
Un cop hem estat els afortunats guanyadors d'un iPhone XS a través d'una web sense protocol https, automàticament se us redirigeix a una adreça web que utilitza el protocol https, un protocol que com hem comentat a l'inici de l'article xifra tota la informació que s'envia, pel que cap intermediari que pugui tenir accés pot desxifrar-la.
En aquest cas, no hi ha cap intermediari que pugui tenir accés, ja que el que estem fent si introduïm les dades del nostre compte d'Amazon i targeta de crèdit el que estem fent és donant-directament, Per aquest motiu els navegadors no siguin capaços de detectar que es tracta d'una web phishing i no ens informin a l'respecte.
A més per intentar enganyar els usuaris més previnguts, a l'accedir a la informació de l'certificat de seguretat, veiem com ha estat la pròpia Amazon qui ha verificat la identitat del web.
Si bé és cert que Amazon és una de les empreses d'allotjament en el núvol més utilitzada arreu del món per empreses a través de AWS, no sol dedicar-se a certificar la seguretat de les pàgines web, encara que també ho fa en menor mesura, com la web que dóna accés al seu servei de vídeo en streaming Primevideo.
El certificat de seguretat de l'protocol https d'Amazon.es i Amazon.com, està signat per l'empresa Digicert Inc. que hauria de ser el mateix del web on se'ns sol·liciten les dades de tant del nostre compte d'Amazon com els de la nostra targeta de crèdit.
El de Twitch.tv, el servei de vídeo en streaming de jugadors que també forma part d'Amazon, està signat per GlobalSing nv-sa. Aquesta dues empreses, són les més utilitzades a tot el món per obtenir els certificats necessaris per poder oferir la seguretat necessària en el dia a dia a l'hora de navegar per internet.
Ningú regala res
Cap empresa i molts menys les més grans, han arribat a ser tan importants per regalar res. Ningú regala res, tot i que és una dita que tothom hauria de conèixer, sembla mentida que a dia d'avui, molts siguin els usuaris que creuen en aquest tipus estafes, Estafes que generalment solen aparèixer tant a Facebook com a WhatsApp, i que darrerament ha començat a estar disponible via SMS.
Aquest tipus de pesca és similar a què en les últimes setmanes també ha començat a circular a través d'SMS de Correus, en el qual ens informen que tenen un paquet per a nosaltres i que tan sols hem de pagar les despeses d'enviament, en un mètode amb el qual volen fer-se amb el número de la nostra targeta de crèdit seguint un procediment molt similar a què us comentem en aquest article.