Una nuova truffa Amazon sta circolando in queste settimane e sfrutta un meccanismo tanto semplice quanto efficace: una finta comunicazione di richiamo prodotto. Gli esperti di sicurezza informatica hanno individuato una campagna fraudolenta che prende di mira gli utenti della piattaforma con email e messaggi apparentemente legittimi, il cui unico scopo è rubare le credenziali di accesso e prendere il controllo dell’account.
Il meccanismo è quello classico del phishing, ma con un tocco in più. I cybercriminali inviano comunicazioni a un numero molto elevato di persone, con una tecnica definita “spray and pry”: si spara nel mucchio sperando che qualcuno abbocchi. Il messaggio, confezionato per sembrare una comunicazione ufficiale del supporto Amazon, avvisa che un prodotto presente in un ordine recente è stato richiamato perché non soddisfa gli standard di sicurezza o di qualità. Al destinatario viene chiesto di non utilizzare il prodotto e viene offerto un rimborso, accessibile cliccando su un link incluso nel testo.
Questo tipo di attacco funziona particolarmente bene durante periodi come le festività natalizie o eventi come il Prime Day, quando chi acquista è più distratto e tende a cliccare in fretta, magari preoccupato dall’idea di aver ricevuto un prodotto difettoso. La fretta e la distrazione sono gli alleati migliori di chi orchestra queste truffe.
Cosa succede dopo aver cliccato sul link
Il link contenuto nel messaggio porta a un sito fasullo che replica il design ufficiale di Amazon, a volte in maniera piuttosto convincente. Per ottenere il presunto rimborso, viene richiesto di inserire le proprie credenziali di accesso. Ed è qui che scatta la trappola vera e propria: chi inserisce email e password non riceverà alcun rimborso, ma consegnerà il proprio account direttamente nelle mani dei truffatori.
Una volta ottenuto l’accesso, i cybercriminali possono fare acquisti utilizzando la carta di credito registrata sull’account, modificare i dati personali e, nei casi peggiori, bloccare completamente il legittimo proprietario fuori dal proprio profilo. Parliamo di un danno che può diventare economicamente significativo nel giro di pochissimo tempo.
Come proteggersi dalla truffa Amazon
La regola d’oro è una sola: non cliccare mai su link ricevuti via email o SMS che dichiarano di provenire da Amazon. Nemmeno se il messaggio sembra autentico, nemmeno se il tono è allarmante. Quello che va fatto, invece, è accedere direttamente al proprio account Amazon (digitando l’indirizzo nel browser o usando l’app ufficiale) e controllare la sezione Messaggi, dove vengono raccolte tutte le comunicazioni reali inviate dalla piattaforma. Se non compare nulla di anomalo lì dentro, si tratta quasi certamente di un tentativo di truffa.
Un altro passaggio fondamentale per la sicurezza del proprio account è attivare l’autenticazione a due fattori. La soluzione più sicura è utilizzare un’app di autenticazione, come Proton Authenticator o simili, piuttosto che affidarsi alla ricezione del codice via SMS. Il motivo è che i messaggi di testo possono essere intercettati da software malevoli noti come infostealer, rendendo di fatto inutile questa forma di protezione aggiuntiva.