Desde algo más de un año, todas las páginas web que quieren ser susceptibles de indexarse en el buscador de Google deben utilizar el protocolo https, un protocolo de seguridad que ha diferencia del tradicional http, nos ofrece cifrado de extremo a extremo en todos los datos que se envían a los servidores donde se encuentra la página web.
Esto movimiento por parte de Google, para incrementar la seguridad de internet, sumado a que todos los navegadores nos muestran un mensaje de peligro cuando visitamos una web en formato http, han obligado a los amigos de lo ajena a utilizar otras estrategias para tratar de engañar a los usuarios más confiados. Hoy hablamos del nuevo método que están utilizando para estafar vía SMS haciéndose pasar por Amazon.
El intento de estafa comienza cuando recibimos un SMS, supuestamente de Amazon, en el que nos informa que hemos sido los afortunados ganadores de una rifa que ha organizado Amazon para celebrar su aniversario y nos invita a pulsar en un enlace para poder conseguirlo, un enlace no seguro http sin la s como podéis ver en la imagen superior.
Al pulsar en el enlace, se nos muestra una página web con el logotipo de Amazon, haciendo uso de https, y con un diseño muy diferente al que nos ofrece el gigante de las búsquedas. El texto de ese enlace nos informa que semanalmente seleccionan a 10 clientes de Amazon para agradecerles la confianza que depositan en sus productos y servicios e invitándonos a contestar a tres preguntas para ver si tenemos suerte.
Al responder a estas tres preguntas, nos informa que hemos sido los afortunados ganadores de un iPhone XS. Para poder recibirlo, dar por supuesto que somos usuarios de Amazon aunque no sea cierto, debemos introducir los datos de nuestra cuenta de Amazon para pagar los 2 euros de gastos de envío.
Al utilizar la web el protocolo https, el navegador en ningún momento detectará que se trata de un posible phishing, que es lo que realmente es, por lo que nos dejará introducir los datos sin ningún tipo de problema.
Solicita los datos de nuestra cuenta de Amazon
Al introducir nuestros datos, se mostrará otra página web en la que se nos informa que la verificación se ha realizado con éxito y que para poder recibir el producto, debemos verificar cual es nuestra edad (si no tenemos más de 18 años, mala suerte), haciendo uso de nuestra tarjeta de crédito. Es decir, no solo tratan de robarnos nuestra cuenta de Amazon, sino que además, también quieren los datos de nuestra tarjeta de crédito.
Si hemos introducido los datos de nuestra cuenta de Amazon, lo único que hemos conseguido es darle acceso a los estafadores por lo que debemos acceder rápidamente a nuestra cuenta de Amazon y cambiar la contraseña.
Saltándose la seguridad de los navegadores
Una vez hemos sido los afortunados ganadores de un iPhone XS a través de una web sin protocolo https, automáticamente se os redirige a una dirección web que utiliza el protocolo https, un protocolo que como hemos comentado al inicio del artículo cifra toda la información que se envía, por lo que ningún intermediario que pueda tener acceso puede descifrarla.
En este caso, no hay ningún intermediario que pueda tener acceso, ya que lo que estamos haciendo si introducimos los datos de nuestra cuenta de Amazon y tarjeta de crédito lo que estamos haciendo es dándosela directamente, de ahí que los navegadores no sean capaces de detectar que se trata de una web phishing y no nos informen al respecto.
Además para tratar de engañar a los usuarios más precavidos, al acceder a la información del certificado de seguridad, vemos como ha sido la propia Amazon quien ha verificado la identidad de la web.
Si bien es cierto que Amazon es una de las empresas de alojamiento en la nube más utilizada en todo el mundo por empresas a través de AWS, no suele dedicarse a certificar la seguridad de las páginas web, aunque también lo hace en menor medida, como la web que da acceso a su servicio de vídeo en streaming Primevideo.
El certificado de seguridad del protocolo https de Amazon.es y Amazon.com, está firmado por la empresa Digicert Inc. que debería ser el mismo de la web donde se nos solicitan los datos de tanto de nuestra cuenta de Amazon como los de nuestra tarjeta de crédito.
El de Twitch.tv, el servicio de vídeo en streaming de jugadores que también forma parte de Amazon, está firmado por GlobalSing nv-sa. Esta dos empresas, son las más utilizadas en todo el mundo para obtener los certificados necesarios para poder ofrecer la seguridad necesaria en el día a día a la hora de navegar por internet.
Nadie regala nada
Ninguna empresa y muchos menos las más grandes, han llegado ser tan importantes por regalar nada. Nadie regala nada, aunque es un dicho que todo el mundo debería conocer, parece mentira que a día de hoy, muchos sean los usuarios que creen en este tipo estafas, estafas que generalmente suelen aparecer tanto en Facebook como en WhatsApp, y que últimamente ha comenzado a estar disponible vía SMS.
Este tipo de phishing es similar al que en las últimas semanas también ha comenzado a circular a través de SMS de Correos, en el que nos informan que tienen un paquete para nosotros y que tan solo tenemos que pagar los gastos de envío, en un método con el que quieren hacerse con el número de nuestra tarjeta de crédito siguiendo un procedimiento muy similar al que os comentamos en este artículo.