Amazon Business sfruttato da una truffa?

Alcuni dei nostri lettori hanno riportato alla nostra redazione una presunta truffa che sfrutta il nome di Amazon e Amazon Business. Marco (nome di fantasia) è stato contattato da un sedicente Account Manager di Amazon (con tanto di profilo LinkedIn falso) che lo ha chiamato da un numero di telefono di Milano e ha ricevuto diverse e-mail che lo inducevano a creare un account Amazon Business. Ma ecco come il presunto tentativo di truffa è iniziato.

Il nostro lettore ha riferito di aver ricevuto inizialmente una chiamata da un presunto dipendente di Amazon (con numero in chiaro con prefisso di Milano), il quale gli ha riferito di poter passare gratuitamente ad un account Amazon Business, utilizzando uno dei due suoi account su Amazon. In qualche modo il truffatore è riuscito a trovare sul Web i dati di Marco, tra cui numero di telefono e indirizzi e-mail con effettivo account attivo per gli acquisti registrati sulla piattaforma di e-commerce. In un primo momento il nostro lettore, insospettitosi dalla chiamata di dubbia entità, è stato rassicurato dal finto dipendente, riferendogli che avrebbe ricevuto una e-mail in cui avrebbe spiegato il tutto.

Effettivamente si potrebbe pensare che il messaggio sia autentico. Infatti il malfattore utilizza un alias che mostra come il mittente sia titolare di un account @amazon.it. Tuttavia, il contenuto del messaggio è confuso e scritto in un italiano grammaticamente scorretto. A differenza di un qualunque messaggio o tentativo di phishing o truffa che mira al patrimonio, all’interno della e-mail l’unico link rimanda effettivamente al sito di Amazon. Una tecnica di ingegneria sociale utile ad illudere la vittima che si può fidare del mittente, come successo nella telefonata.

Riferendo di non aver alcun interesse nel passare ad un account, il numero di Marco è squillato ben tre volte. Nella successiva e-mail di risposta, il nostro lettore ha chiesto via e-mail al sedicente Account Manager, di non proseguire nelle chiamate e di continuare per posta. Facendo una rapida ricerca, abbiamo individuato il profilo LinkedIn, Twitter, Facebook, Instagram e TikTok del finto dipendente di Amazon. Il tono, l’accento del centro-Italia e l’aspetto, corrisponderebbero alla telefonata e ai video presenti sui vari social network.

Profilo LinkedIn del sedicente dipendente di Amazon che ha contattato Marco.

Per fugare ogni dubbio, d’accordo con Marco abbiamo contattato il customer care. Da una verifica è emerso che questo tipo di attività non è in alcun modo legata alla piattaforma statunitense. Il (vero) dipendente di Amazon ci ha anche consigliato di attivare l’autenticazione a due fattori dopo aver cambiato password. Fortunatamente, il nostro non ha consegnato alcun tipo di dato sensibile al truffatore.

Dopo un giorno di silenzio Marco ha ricevuto due telefonate dallo stesso numero, ma non ha risposto. Tuttavia ha ricevuto due ulteriori e-mail, questa volta da un indirizzo diverso, a poche ore di distanza dalle chiamate. Il contenuto delle e-mail ha lo stesso scopo delle prime, inizialmente firmate. Questa volta è un falso indirizzo no-reply, che invita a creare un account gratuito su Amazon Business e l’altro a Audible. Il buon senso consiglierebbe di non cliccare su alcun link ma, ehi, fatti non foste a viver come bruti. Cliccando sul link siamo stati dirottati su un sito che replica l’aspetto di Amazon; da qui, cliccando sul tasto, si verrà poi reindirizzati effettivamente su un autentico sito di Amazon.

Ma quindi, dov’è la truffa?

Esistono due scuole di pensiero. Il primo è quello meno dannoso: l’autore di questi messaggi può aver semplicemente un account di affiliazione ad Amazon (come tutti, come del resto anche noi) e ha trovato un modo per nascondere il proprio ID affiliato. Lo scopo è semplicemente quello di ottenere un legittimo riconoscimento economico dalla piattaforma per una conversione riuscita. In questo caso, una registrazione legittima ad Amazon Business, ma può essere anche un account su Audible o Prime. Se Marco dai link avesse dunque effettuato una registrazione ad Amazon Business, Audible o un qualsiasi acquisto su Amazon, il mittente avrebbe dunque guadagnato un “legittimo” riconoscimento nonostante i metodi truffaldini.
La seconda ipotesi, la più inquietante, è che costui utilizzi l’ingegneria sociale per verificare quante persone si fidino dei suoi tentativi, per poi sferrare un attacco più subdolo in seguito.

Come verificare se il messaggio è autentico

Tutta la corrispondenza con Amazon, come ci ha fatto notare il legittimo dipendente del Customer Care, è documentata, ed è facilmente reperibile. Loggandosi al proprio account Amazon, si potrà accedere al proprio profilo alla voce “Il tuo account”. Da qui è possibile premere sulla voce “Centro comunicazioni” nella parte “Avvisi via email, messaggi, annunci pubblicitari e cookie”. Se non ci sono altri messaggi simili ricevuti, allora non è un messaggio autentico.

Aiutaci a crescere: lasciaci un like :)

Il mio colore preferito è il 9. La mia canzone preferita "Il Fu Mattia Pascal". E il mio film preferito è davvero "Catch me, if you can".