Com cada any, Amazon Prime Day arriba com un dels esdeveniments de rebaixes més esperat pels compradors de tot el món, a l’espera d’aprofitar totes les gangues i ofertes exclusives per a millorar el seu estiu i resta d’any. Però per desgràcia, Amazon no és l’única que es prepara aquests dies.
Segons detallen els investigadors de Check Point Research, la divisió d’intel·ligència d’amenaces Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveïdor líder especialitzat en ciberseguretat a escala mundial, els ciberdelinqüents aprofiten aquesta ocasió per a dur a terme atacs de phishing i altres tàctiques enganyoses amb l’objectiu de robar informació personal o credencials financeres dels usuaris.
Encara que el Prime Day ofereix estalvis increïbles, és crucial que els compradors es mantinguin alerta, vagin amb compte en fer clic en enllaços o proporcionar informació confidencial, i s’assegurin que estan navegant per plataformes legítimes.
Si bé enguany Amazon Prime Day se celebrarà durant els dies 11 i 12 de juliol, no obstant això, les campanyes de phishing relacionades amb Amazon Prime ja han començat. Els investigadors han detectat ja una presència fins a 16 vegades major durant el mes de juny, en comparació amb el mes anterior, a més d’un augment de totes les campanyes de phishing relacionades amb Amazon del 8% a tot el món.
Durant aquest període, es van registrar gairebé 1.500 nous dominis relacionats amb el terme «Amazon», dels quals el 92% van resultar ser maliciosos o sospitosos. Un de cada 68 nous dominis relacionats amb «Amazon» també estava relacionat amb «Amazon Prime». Al voltant del 93% d’aquests dominis van resultar ser de risc.
Alarmes per a identificar un possible intent de phishing
L’element bàsic d’un atac de phishing és un missatge, normalment enviat per correu electrònic o altres mitjans de comunicació electrònica tant en línia com online, com els missatges de text.
Entre els exemples detectats per Check Point Research, s’han detectat correus de phishing que semblen enviats des de «Amazon[.]co[.]uk». En aquest cas, els ciberdelinqüents busquen atreure a la víctima perquè aquesta faci clic en un enllaç maliciós, que redirigeix a l’usuari a una web diferent de la mostrada: (http://www[.]betoncire[.]és/updating/32080592480922000 – Enllaç actualment inactiu).
Un altre dels correus de phishing detectats intentava robar la informació creditícia dels usuaris. Enviat des d’una adreça falsa de Amazon (amazon@blackoutthelimit[.]com), aquest missatge contenia un assumpte creat mitjançant enginyeria social amb el qual es buscava pressionar a la víctima perquè fes clic en l’enllaç maliciós (http://kolives[.]com/*profile/ – Enllaç actualment inactiu).
El lloc web redirigia a l’usuari a una pàgina de pagament fraudulenta d’Amazon que s’assemblava al lloc real amb petits canvis (per exemple, «Cvv» en lloc de «CVV»), buscant enganyar l’usuari per a instar-lo a introduir la seva informació.
Com comprar amb seguretat a Amazon Prime Day
Per a ajudar els usuaris a mantenir-se segurs enguany, Check Point Software comparteix alguns consells pràctics per a assegurar la seguretat de les seves compres online:
- Compte amb els errors ortogràfics: en moltes ocasions les pàgines i missatges fraudulents compten amb errors ortogràfics. És important estar alerta i buscar qualsevol petit canvi que ens permeti identificar aquests continguts maliciosos (“Arnazon” en lloc de “Amazon”, o dominis acabats en “.co” en lloc de “.com”).
- Crear una contrasenya segura: una vegada que un compte ha estat vulnerada, els danys poden ser irreparables. Per això, és recomanable assegurar-se tenir una contrasenya única i indesxifrable, amb almenys 12 caràcters i la combinació de majúscules, números i símbols.
- Buscar sempre el cadenat: a l’hora de comprar online, és imperant no introduir mai dades de pagament ni personals en un lloc web que no tingui instal·lat el xifratge de capa de connexió segura (SSL). Per a saber si el lloc té SSL, busqui la «S» en la URL (HTTPS, en lloc d’HTTP), o la icona d’un cadenat tancat, normalment a l’esquerra de la URL en la barra de direccions.
- Compartir el mínim: cap detallista de compres en línia necessita la teva data de naixement o el teu número de la Seguretat Social per a fer negocis. Mantenir sempre la disciplina de compartir el mínim quan es tracta d’informació personal és un pilar bàsic de la navegació en Internet.
- Revisar i pensar abans de fer clic: les tècniques d’enginyeria social estan dissenyades per a aprofitar-se de la naturalesa humana. Els atacs de phishing solen utilitzar aquestes tècniques per a convèncer a les seves víctimes que ignorin les seves possibles sospites sobre un missatge i facin clic en un enllaç o obrin un arxiu adjunt, utilitzant tàctiques com les “ofereixes flaix”. És important no realitzar clics impulsius sense abans assegurar la veracitat d’un missatge.
- Compte amb les gangues «massa bones per a ser veritat»: si bé les ofertes del propi Prime Day són a vegades increïbles, sempre guarden una certa coherència. Si alguna cosa sembla massa bo per a ser veritat, probablement ho és. Desconfiar d’aquesta mena d’ofertes, i buscar-les de manera manual a través de la mateixa plataforma d’Amazon ens pot estalviar costos inesperats.