Mentre l’intero settore e le forze dell’ordine di tutto il mondo sono impegnati nella lotta al cybercrime, anche i criminali sono attivi nella continua ricerca di nuovi modi per guadagnare denaro, al di là dell’uso dei malware.
Offrire gratuitamente qualcosa che ha un valore può essere un’operazione di marketing vincente, dalla quale i cybercriminali possono trarre vantaggio: i siti web che offrono ai consumatori la possibilità di generare in modo gratuito delle gift card da usare su canali noti – come iTunes, Google Play, Amazon o Steam – non sono di certo una novità.
Ad esempio, app legittime come Tokenfire e Swagbucks acquistano i codici delle card dai fornitori, per poi metterli a disposizione dei clienti come premi per determinate attività. I cybercriminali sembrano aver riconosciuto la popolarità di questi siti e hanno deciso di truffare gli utenti utilizzando un semplice algoritmo.
Quando l’utente è sul falso sito web, gli viene richiesto di selezionare la gift card che desidera, in modo da ricevere il codice di attivazione. Dopo questo passaggio, il meccanismo fraudolento si mette in moto. Per ottenere il codice generato dal sistema, l’utente deve dimostrare di non essere un robot e, per farlo, deve seguire il link che gli viene suggerito e completare varie attività; il numero e il tipo di attività da portare a termine sono determinate dalla rete del partner a cui l’utente viene reindirizzato.
Ad esempio, all’utente potrebbe essere richiesta la compilazione di un modulo, il rilascio di un numero di telefono o di un indirizzo email, la sottoscrizione di un servizio di SMS a pagamento, l’installazione di un adware e altro ancora.
Il risultato è prevedibile: o gli utenti si stancano di tutte queste attività o finalmente ottengono il codice che si rivelerà, però, inutile. Il guadagno per i cybercriminali può variare da pochi centesimi, per ogni clic sul link desiderato, a dozzine di dollari, per la compilazione di un modulo o la sottoscrizione di servizi a pagamento. I cybercriminali, quindi, ottengono dei profitti senza fare nulla, solo grazie alle azioni dell’utente sui siti web partner di terzi parti, che a loro volta beneficiano dell’accesso ai dati personali degli utenti che potrebbero poi essere utilizzati per scopi privati.
“Il successo di queste nuove strategie di truffa si basa sul fatto che i criminali decidono di sfruttare il desiderio degli utenti di ottenere qualcosa in modo gratuito. Nella migliore delle ipotesi, le vittime perderanno il loro tempo nello svolgimento di compiti inutili; nel peggiore, perderanno denaro senza aver ottenuto nulla in cambio. Quindi, se si desidera avere una gift card gratuita, sarebbe meglio cercare di ottenerla attraverso canali online legali e affidabili”, ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab.
Per evitare di diventare vittime di queste truffe e perdere così i propri dati personali, i ricercatori suggeriscono di seguire alcune semplici regole:
- Nessuno dà niente per niente, proprio per questo è importante essere sempre scettici in caso di offerte che sembrano troppo allettanti per essere vere.
- Controllare la presenza della sigla HTTPS e il nome del dominio quando si apre una pagina web: è particolarmente importante farlo quando si utilizzano siti web che contengono dati sensibili, ad esempio pagine per servizi bancari online, negozi online, canali di gestione delle email, siti di social media, ecc.
- Non condividere mai i propri dati sensibili, come informazioni su login e password o dati di carte di credito, con siti di terze parti: le aziende ufficiali non chiederebbero mai dati di questo tipo via email.
- Non diffondere link di origine incerta tra i propri amici.
- Verificare direttamente con l’azienda se sta rilasciando davvero codici regalo e se il sito di cui si serve per farlo è quello di un partner ufficiale. Per fare questa verifica basta contattare il Support Service ufficiale attraverso il vero sito web dell’azienda.
- Utilizzare una soluzione di sicurezza affidabile con tecnologie anti-phishing “behaviour-based” per rilevare e bloccare gli attacchi di spam e phishing, come Kaspersky Total Security, una soluzione in grado di bloccare anche i falsi siti web legati al fenomeno delle gift card gratuite.
Per saperne di più su come funziona questo nuovo modello fraudolento basato sulla generazione free di gift card, è disponibile un blogpost dedicato su Securelist.com.