Manual contra phishing para vendedores en Amazon: cómo prevenirlo y cómo actuar si sucede

¿Has sido víctima de ciber ataques alguna vez? ¿Has sido víctima de un hackeo de cuenta en Amazon? Lamentablemente cada vez es más frecuente el intento de nuestros queridos hackers por destruir y adueñarse furtivamente de todo lo que nos cuesta tanto esfuerzo, tiempo y dinero conseguir. Por esto mismo me he animado a crear este manual contra hackeos de Amazon. Lo más importante es no caer en las trampas, pero si lo hacemos, ten en cuenta todos estos puntos y contacta con profesionales.

Cómo prevenir y protegerse contra los ciberataques

Comprobar el remitente

La primera medida de acción es preventiva, y es no picar. Parece fácil decirlo, pero hay que enseñar a los empleados y sobre todo a socios, jefes, etc, la cultura de Amazon y cómo te contacta Amazon: desde qué URLs, qué información nunca jamás te van a pedir por email, etc.

Amazon siempre te va a contactar desde un email tipo @amazon.com, @amazon.es, @amazon.de o @amazon.co.uk. El precedente a la @ pueden ser muchos, algunos son verificacion-vendedor@, performance@, no-reply@ pero todos ellos van a ir bajo un dominio de Amazon o un subdominio como business.amazon.es. Por ejemplo: no-reply@business.amazon.com.

El engaño de los hackers está en camuflar el nombre del contacto (remitente) falso por uno que parezca Amazon.

Por eso antes de hacer ningún clic, debes desplegar la vista del contacto para asegurarte de los dominios de los correos que te llegan. Muchos usuarios pican por este motivo, piensan que quien les contacta en realidad es Amazon, cuando no es así.

También te pueden llegar a modo de mensaje interno por Seller Central. En estos casos no te pueden enviar links directos porque Amazon bloquearía el mensaje, pero te dan unas instrucciones para que pongas una URL sospechosa. Lo mejor es que denuncies el mensaje ante Amazon. Aquí tienes un ejemplo.

Amazon nunca jamás te va a pedir algo así y menos por mensaje interno de cliente. Te contactaría performance@amazon.com y nunca te pedirían un clic en un enlace.

Ten siempre a mano tu Seller ID

Puede parecer una tontería, pero si te hackean y te cambian toda la información de la cuenta, lo único que te quedará será el Seller ID (merchant token ID). Ve a tu cuenta, y busca merchant token id y guárdalo bien. Si ya te ha ocurrido el hackeo, localiza uno de tus productos como si fueses un cliente y entra en tu perfil de vendedor de Amazon, en la URL encontrarás tu Merchant Token ID y el Marketplace ID.

Qué hacer en caso de haber caído en la trampa

Y si ya has picado, ¿qué haces? Pues aquí tienes un contraataque.

Contraataque 1

Comprueba los accesos del resto de usuarios, que se mantengan conectados a la cuenta. A parte, ya que estás en este marrón. Repasa los accesos que tienen tus empleados y mira a ver si tienen una sobre responsabilidad, quiero decir que tengan niveles de acceso demasiado elevados para el desarrollo de sus tareas diarias.

Aquí ganas puntos si estás conectado a la cuenta con integradores. Por ejemplo partners de Amazon como agencias, se conectan a la cuenta mediante aplicación, no usuarios.

Contraataque 2

Comprueba todos los correos que te puedan llegar de Amazon, revisa el spam por si te han enviado emails de cambios de cuenta y/o tarjeta bancaria. Esos mails son solo y deben ser informativos, si tienen enlaces, no pinches, será parte de la estafa.

Contraataque 3

Normalmente estos hackers te hacen subidas masivas de sus productos en pocos minutos con el fin de vender lo que sea y fastidiarte la reputación de la cuenta y mover rápidamente sus listings. Si mantienes acceso a la cuenta, ya sea que algún usuario se mantenga activo o mediante el acceso de partners de Amazon puedes jugar al gato y al ratón con ellos.

Si ellos te suben catálogo, descarga el fichero de inventario donde tendrás sus SKUs. Ve a Subida con fichero y descarga el fichero Flat.File.Inventory.Loader.xls donde podrás copiar y pegar sus sku y en el campo de “add or delete” pon una X. De esa manera eliminas en pocos segundos la subida que los te hacen. Puedes mantenerlos a raya mientras se recupera la cuenta.

Contraataque 4

Hacer un cambio administrativo, tipo teléfono de la cuenta para que se bloqueen los pagos mientras se verifican. Siempre que se hace un cambio de un dato sensible, tipo tarjeta, cuenta bancaria, teléfono principal, persona de contacto o datos fiscal, Amazon pone la cuenta en modo verificación y se congela el saldo y los pagos. De esa forma puedes evitar que hagan desembolsos a una cuenta bancaria que no es la tuya, porque es fácil colársela a Amazon con un certificado de cuenta bancaria falsificado.

Medidas de limpieza a aplicar una vez recuperada la cuenta

Medida de limpieza 1

Si has conseguido solucionar el problema y recuperar tu cuenta, ve a los usuarios a comprobar que no hay nadie ajeno a la empresa. No solo los usuarios de la web local, pincha también en un iconito que pone permisos de cuenta internacional, te puedes encontrar usuarios ahí que no sabías ni que existían.

Medida de limpieza 2

Ve a al menú —> Red de desarrolladores asociados —> Gestionar aplicaciones. Y comprueba que no hay aplicaciones conectadas que no sean las habituales que trabajas.

Medida de limpieza 3

Ve a al menú —> Red de desarrolladores asociados —> Desarrollo de Apps. Una vez hecho esto, comprueba que no han configurado los Amazon Web Services y no han tenido acceso a las APIs y credenciales que poder usar en otros sitios. Si entras y no está configurada la herramienta, entonces es buena señal, si al entrar está todo configurado, abre caso y denúncialo a Amazon para que revoquen los accesos.

Medida de limpieza 4

Repite esto mismo de arriba en la cuenta de Amazon Ads y la cuenta de Brand Services.

Medida de limpieza 5

Respecto a Brand Services, comprueba que no se han cambiado los propietarios de los derechos de la marca y/o los administradores y que por supuesto, siguen los mismos usuarios. También comprueba que no se haya dado permiso de explotación de la marca a una cuenta de Seller Central ajena a la tuya.

Todo esto lo puedes encontrar en el panel de Brand Services en la zona central de la home.

Y para terminar, no piques. El día a día puede ser caótico y lleno de estrés y prisas y muchos de estos hackeos se producen por gente con experiencia que va como una moto y lo hace por inercia. Tómate un momento para pensar, abre un caso si es preciso. Las peticiones de Amazon suelen tener varios días de margen para actuar. No lo tienes que hacer ya corriendo. ¡Suerte!

¿Qué empresa trata sus datos?	Iniciativas Virtuales S.A.
¿Por qué tratamos los datos que le pedimos?	Tratamos sus datos para poder prestarle nuestros servicios y enviarle información sobre nuestros productos y servicios.
¿Cuál es la legitimación para este tratamiento de sus datos?	Estos datos son necesarios para llevar a cabo la prestación de los servicios que haya solicitado a través del Sitio Web.
¿Se van a hacer cesiones o transferencias con sus datos?	No, sus datos no serán objeto de cesiones a terceras empresas.
¿Se utilizarán sus datos para hacer perfilados o segmentaciones?	Iniciativas Virtuales S.A. podrá utilizar técnicas de profiling para poder ofrecerle publicidad acorde con sus intereses.
¿Tiene dudas?	Tanto si tiene alguna, o sugerencia, como si quiere darse de baja pángase en contacto con nosotros enviando un email a la siguiente dirección: redaccion@marketing4ecommerce.net