Otro caso no habitual de #Phishing (#Amazon)

Hace apenas dos días comentabamos aquí de un caso poco común de phishing. Hoy nos acaban de reportar otro, y en esta oportunidad es de Amazon. El correo engañoso que se recibe dice que: "Your account is frozen per our compliance department".

O sea que la cuenta Amazon fue congelada por el departamento de cumplimiento. El correo con solo una imágen que contiene todo el texto es este:

El único enlace del correo es este https://www.facebook.com/download/[ELIMINADO]/PP_002_054_171_429.html que es una descarga benigna de un archivo HTML el cual deberíamos abrir.
Luego de analizarlo en VirusTotal comprobamos que no es detectado por ningun antivirus. Además procedemos a una revisión de su texto sin encontrar código ofuscado con vimos en el caso anterior.

Al abrir el formulario seguimos por las siguiente pantallas en el navegador:

Primero una carga inical de direccion de correo de nuestra cuenta Amazon y la contraseña. Luedo de ello al presionar el botón esa información no fue enviada a ninguna parte sino que pasamos a una simulación:

Para luego pasar a un formulario donde cargar todos los datos personales y de tarjeta de crédito que son los necesarios para realizar una compra y validar la identidad.

Ahora si, al pulsar al botón detectamos tráfico http con un POST a http://pluss.esy.es/send.php con todos los datos capturados. (ese recurso abusivo ya fue removido)
A continuación somos informados que el proceso fue exitoso (se robaron los datos con éxito).

Y seremos redirigidos a la página oficial de Amazon.

Conclusión: luego de haber sido engañada la víctima, habrá sufrido a) el robo de sus credenciales de ingreso a Amazon y b) de su información de tarjeta de crédito.

Raúl de la Redacción de Segu-Info