Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

Fraudes por 2€. Detectada suplantación de marcas conocidas ofreciendo sus servicios a bajo coste

Fecha de publicación 28/08/2020
Importancia
3 - Media
Recursos Afectados

Cualquier usuario que haya recibido el correo electrónico y haya introducido sus datos personales y/o los de su tarjeta bancaria en el formulario de la página fraudulenta.

Descripción

Se ha detectado una campaña de envío de correos electrónicos falsos que suplantan la identidad de Amazon, asimismo podrían verse afectados otros servicios conocidos como plataformas multimedia, marcas de vehículos, marcas de dispositivos tecnológicos, marcas deportivas, productos de limpieza o plataformas multimarca. El objetivo es redirigir a la víctima a una página web fraudulenta (phishing) que simula ser la del servicio en cuestión, ofertando por una cantidad irrisoria uno de sus productos a cambio de facilitar datos personales y/o la tarjeta de crédito.

Solución

Si has recibido un correo electrónico de estas características, has accedido al enlace y facilitado los datos de tu tarjeta de crédito, contacta lo antes posible con tu entidad bancaria para informarles de lo sucedido.

Evita ser víctima de fraudes tipo phishing siguiendo nuestras recomendaciones:

  • No te fíes de los correos electrónicos de usuarios desconocidos o que no hayas solicitado, elimínalos de tu bandeja de entrada.
  • No contestes en ningún caso a estos correos.
  • Ten siempre actualizado el sistema operativo y el antivirus de tu dispositivo. En el caso del antivirus, además se debe comprobar que esté activo.
  • En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.
     

Además, ten siempre en cuenta los siguientes consejos:

  • Escribe directamente la URL del servicio en el navegador, en lugar de llegar a la web a través de enlaces disponibles desde páginas de terceros, en correos electrónicos o en mensajes de texto. 
  • No facilites tus datos personales (número de teléfono, nombre, apellidos, dirección o correo electrónico) o bancarios en cualquier página. Infórmate previamente y lee los textos legales de la web para descartar un posible mal uso de tus datos.
  • Desconfía de promociones online que requieran facilitar información personal.
  • En caso de acceder a un servicio desde su aplicación, revisa que tengas instalada la aplicación legítima y que los permisos proporcionados sean adecuados.
     

Importante: Recuerda que nadie regala nada y que detrás de una promoción de estas características, suele existir algún tipo de fraude.

Aprende a identificar correos electrónicos maliciosos para no caer en engaños de este tipo con la siguiente infografía: Cómo identificar un correo electrónico malicioso.

Detalle

El correo electrónico fraudulento se envía desde una cuenta que no pertenece al servicio legítimo de la marca, con el asunto  “Hola [dirección de destinatario], OBTENER UNA UN AÑO SUSCRIPCIÓN SOLO PARA €2.”, aunque no se descarta que puedan estar distribuyéndose mediante otros asuntos similares o incluso diferentes.

Se caracteriza por dirigirse al usuario utilizando la dirección de correo electrónico en vez de su nombre o apellidos. La dirección desde la que se envían los correos no es un domino que pertenezca al servicio, aunque sí utiliza su logotipo. Además, el contenido muestra errores en la redacción que evidencian la suplantación de identidad.

En el cuerpo del mensaje se invita al usuario a completar un cuestionario a cambio de una suscripción al servicio por una cantidad de 2 euros. Un ejemplo del correo electrónico sería el siguiente:

Mail fraude Amazon

Si se hace click en el botón o enlace, este redirecciona a un sitio web diseñado con la finalidad de parecer legítimo donde se invita al usuario a completar una encuesta relacionada con la experiencia de compra en Amazon y que indica que se han desbloqueado una serie de premios que incluyen dicha suscripción anual.  

Imagen cuestionario

Tras varias preguntas de carácter personal (nombre, apellido, dirección postal, teléfono y correo electrónico), nos aparecerá un botón para crear nuestra cuenta y poder recibir el premio.

Imagen formulario

Finalmente, la víctima llega a un formulario en donde deberá introducir los datos de su tarjeta de crédito.

imagen tarjeta

Una vez rellenados y enviados los datos, los ciberdelincuentes ya estarán en posesión de nuestra información.

Otros ejemplos que utilizan este mismo modus operandi serían:

webs falsas

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de Twitter @osiseguridad y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad dirigidos a ciudadanos. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Listado de referencias
Etiquetas