Ya estamos en plena temporada de navidad y, con ella, llegan los timos disfrazados de supuestos regalos o sorteos de conocidas empresas. Es el caso del mensaje que se está haciendo viral en grupos de WhatsApp, que asegura que Amazon está regalando 15.000 productos debido a una "Promoción Navideña", según informan desde la web Maldita.es.
Este supuesto sorteo se trata de phishing, y pretenden que lo envíes a tantas personas como sea posible para tener más alcance. La estructura, además, es idéntica a la del phishing de un supuesto sorteo de Amazon de 5.000 regalos en el anterior Black Friday.
🔴#OSIaviso | @amazon no está regalando 15.000 productos gratis, es un #fraude. No facilites tus datos personales.
🚨Más info: https://t.co/zRkUkOarw9
Si dudas, Tu Ayuda en #Ciberseguridad de @INCIBE: https://t.co/m45YXQ05PQ pic.twitter.com/Wh1pwsZdUR
- OSI Seguridad (@osiseguridad) December 17, 2021
Se hacen pasar por Amazon para llegar a mas gente
Lo primero que debemos hacer cuando nos llega un mensaje como este es fijarnos en la URL. Esta es "https://rediroff.ru..." y, por tanto, no es de Amazon, la cual es "www.amazon.es", en el caso de España.
Si accedemos al enlace vemos que, aunque la página no es de Amazon, se hacen pasar por ella para que creamos que es esta empresa la que regala los supuestos productos.
Nos piden que hagamos una encuesta
Como viene siendo habitual en los últimos casos de phishing, nos indican que debemos completar un cuestionario para ganar "un regalo exclusivo" y responder preguntas como "¿Conoces Amazon?", "¿Cuántos años tienes?", "¿Qué piensas de Amazon?" o "¿Nos recomendarías a tus amigos?".
Otra táctica que utilizan para que piquemos y no tengamos tiempo a reaccionar es decir que "quedan 133 regalos". No obstante, siempre aparece la misma cantidad.
Cuando completamos la encuesta, nos piden abrir una serie de cajas
Llegados a este punto, debemos abrir unas cajas de regalo para, supuestamente, conseguir uno de los 133 regalos que quedan disponibles. También hemos comprobado que el supuesto regalo, un Apple iPhone 11, siempre aparece al abrir la segunda caja.
Nos piden compartirlo con 5 grupos o 20 amigos para obtener el supuesto premio
A pesar de que nos aseguran que hemos ganado el iPhone 11, nos dicen que debemos enviarlo por WhatsApp a 5 grupos o a 20 amigos para obtener el premio. El objetivo no es otro que llegar a tantas personas como sea posible.
Además, al ser enviado por algún conocido, pretenden que las personas que lo reciban acaben confiando en este fraude. Esta es otra de las técnicas usadas comúnmente en los casos de phishing.
También ponen un contador diciendo que tienes "500 segundos" para enviarlo. Otra estrategia del phishing para que lo acabemos compartiendo con amigos y contactos de WhatsApp cuanto antes.
Usan fotos cogidas de internet para hacernos creer que hay gente que está recibiendo premios
Mientras vamos pasando pantallas, podemos ver comentarios de personas, como si fuesen perfiles de Facebook, asegurando que han participado en el sorteo. No obstante, son siempre los mismos perfiles, con fotos obtenidas de internet.
Además, estas mismas fotos y comentarios son los que también utilizaban en el phishing del supuesto sorteo de Amazon con motivo del Black Friday.
¿Qué podemos hacer si hemos sido víctima de este timo?
- Si has reenviado el link por WhatsApp a tus contactos, te recomendamos que te pongas en contacto con ellos cuanto antes y les hagas saber que no es un sorteo real sino un caso de phishing.
- También es recomendable que te asegures de que no se ha descargado ningún archivo malicioso en tu móvil y que le pases un antivirus.
- Por último, si has dado tus datos bancarios es aconsejable que te pongas en contacto con tu banco lo antes posible.
Consejos para evitar ser víctima de phishing
- Fíjate bien en la dirección del correo electrónico. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la "@". Si notas algo raro, borra el correo.
- Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la URL de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil.