L’annuncio appare come un’offerta allettante, lunaproposta convincente. Eppure, ogni clic sono soldi persi. La nuova frontiera della truffa online è quella delle false gift card gratuite: generate da siti web fake, inducono l’utente a seguire un link dopo l’altro e a rilasciare dati personali di cui si servono i cybercriminali per generare guadagni.
La nuova strategia fraudolenta è stata scoperta dagli esperti di Kaspersky Lab. Si attua inducendo gli utenti a perdere tempo e dati, senza averne alcun ritorno. L’offerta gratuita di una card regalo di per sé è un’operazione di marketing efficace: app legittime acquistano i codici delle card dai fornitori, per poi metterli a disposizione dei clienti come premio per determinate attività. Gli esperti della truffa online sfruttano invece questo meccanismo per far soldi: grazie alla creazione di siti internet fake, riescono a far avere i dati degli utenti a siti partner di terze parti, verso i quali le vittime vengono reindirizzate.
Quando l’utente è sul falso sito web, gli viene richiesto di selezionare una gift card per ricevere il codice di attivazione. Ecco che il meccanismo fraudolento si mette in moto. Per ottenere il codice, l’utente deve dimostrare di non essere un robot, seguire perciò il link suggerito e completare varie attività: la compilazione di un modulo, il rilascio di un numero di telefono o di un indirizzo email, la sottoscrizione di un servizio di sms a pagamento, l’installazione di un adware. Il codice ottenuto si rivelerà inutile, mentre il guadagno dei cybercriminali può andare da pochi centesimi, per ogni clic dell’utente, a decine di dollari, per i dati personali rilasciati ai siti web di terzi.
Per evitare di incappare in queste truffe gli esperti consigliano di stare attenti alle offerte troppo allettanti. È importante controllare sempre la presenza della sigla https e il nome del dominio quando si apre una pagina web, non condividere dati sensibili con siti di terze parti e verificare se l’azienda sta rilasciando davvero codici regalo e se il sito di cui si serve è quello di un partner ufficiale. Meglio non diffondere link di origine incerta tra i propri amici e utilizzare una soluzione di sicurezza con tecnologie anti-phishing “behaviour-based” per rilevare e bloccare gli attacchi di spam e phishing.