I cybercriminali continuano a trovare nuovi modi per guadagnare, al di là dell’uso dei malware. Per esempio, offrire gratuitamente qualcosa che ha un valore può essere un’operazione di marketing vincente, dalla quale i cybercriminali possono trarre vantaggio: i siti web che offrono ai consumatori la possibilità di generare in modo gratuito delle gift card da usare su canali noti – come iTunes, Google Play, Amazon o Steam – non sono di certo una novità. Ad esempio, app legittime come Tokenfire e Swagbucks acquistano i codici delle card dai fornitori, per poi metterli a disposizione dei clienti come premi per determinate attività. I cybercriminali sembrano aver riconosciuto la popolarità di questi siti e hanno deciso di truffare gli utenti utilizzando un semplice algoritmo.

Quando l’utente è sul falso sito web, gli viene richiesto di selezionare la gift card che desidera, in modo da ricevere il codice di attivazione. Dopo questo passaggio, il meccanismo fraudolento si mette in moto. Per ottenere il codice generato dal sistema, l’utente deve dimostrare di non essere un robot e, per farlo, deve seguire il link che gli viene suggerito e completare varie attività; il numero e il tipo di attività da portare a termine sono determinate dalla rete del partner a cui l’utente viene reindirizzato. Ad esempio, all’utente potrebbe essere richiesta la compilazione di un modulo, il rilascio di un numero di telefono o di un indirizzo email, la sottoscrizione di un servizio di SMS a pagamento, l’installazione di un adware e altro ancora.

Il risultato è prevedibile: o gli utenti si stancano di tutte queste attività o finalmente ottengono il codice che si rivelerà, però, inutile. Il guadagno per i cybercriminali può variare da pochi centesimi, per ogni clic sul link desiderato, a dozzine di dollari, per la compilazione di un modulo o la sottoscrizione di servizi a pagamento. I cybercriminali, quindi, ottengono dei profitti senza fare nulla, solo grazie alle azioni dell’utente sui siti web partner di terzi parti, che a loro volta beneficiano dell’accesso ai dati personali degli utenti che potrebbero poi essere utilizzati per scopi privati.