Darmowy kupon od Amazona? Uważaj, to może być scam!

W ostatnich dniach media rozpisują się na temat Amazona w związku z otwarciem pierwszego sklepu Amazon Go, który ma być alternatywą tradycyjnych zakupów – bez kolejek, bez czekania. Wchodzicie, bierzecie produkt i wychodzicie. Płatności dokonywane są automatycznie poprzez aplikację. Na przypadek ciekawego scamu wpadli dziennikarze serwisu Bleeping Computer[1]. Użytkownik ma możliwość uzyskania karty na zakupy na stronie Amazona… Szkoda tylko, że to scam, a w tle wykonywane są zupełnie inne operacje.

Autor oryginalnej publikacji sprawdzał banery reklamowe pod kątem szkodliwego oprogramowania oraz niechacianych dodatków do przeglądarki Chrome. W końcu został on pokierowany na stronę, która oferowała darmową kartę na zakupy w sklepie Amazon. Jedynym warunkiem było pozostanie na stronie do końca odliczania.

Źródło: https://www.bleepingcomputer.com/news/security/sites-promoting-free-amazon-gift-cards-dont-deliver-what-you-are-expecting/
Źródło: https://www.bleepingcomputer.com/news/security/sites-promoting-free-amazon-gift-cards-dont-deliver-what-you-are-expecting/

Oczywiście jak nie trudno się domyśleć, licznik nigdy nie dojdzie do zera (pod sam koniec odliczania wskakuje ponownie na minutę do końca). Dodatkowo w tle wykonywane są zupełnie inne operacje. W pierwszej chwili odkrywca skojarzył stronę z kolejną kopalnią kryptowalut, która po pobraniu na komputer skryptów i ich uruchomieniu, wykorzystuje zasoby sprzętowe ofiary do zysków. Jednak po analizie przy pomocy aplikacji do monitorowania ruchu, okazało się, że strona w każdej sekundzie łączyła się z adresami prowadzącymi do serwisu YouTube.

Źródło: https://www.bleepingcomputer.com/news/security/sites-promoting-free-amazon-gift-cards-dont-deliver-what-you-are-expecting/
Źródło: https://www.bleepingcomputer.com/news/security/sites-promoting-free-amazon-gift-cards-dont-deliver-what-you-are-expecting/

Całe zdarzenie zostało opisane na poniższym filmie, gdzie autor dzieli się również swoimi przypuszczeniami dla sensu tej kampanii.

Dziwne jest bowiem to, że reklamy i filmy nie wyświetlają się bezpośrednio na stronie, ale wszystko odbywa się tak naprawdę w tle. Użytkownicy Twittera sugerują, że być może chodzi o monetyzację zamieszczonych filmów. Nowa polityka YouTube’a wymaga minimum 1000 subskrybentów oraz sumy 4000 godzin obejrzanych filmów wideo. W ten sposób drugą zmienną łatwo wykonać. Internauci czekając 5 minut na odliczenie zegara do zera, dość szybko nabiliby sumę 4000 godzin. Jednak patrząc na liczbę subskrybcji kanału, to były one dalekie od 1000 (niektóre kanały posiadały jedynie 60).

 

Drugą opcją jest chęć wpłynięcia na algorytmy wyszukiwarki i znalezienie się wyżej w wynikach wyszukiwania przez częste odtwarzanie filmu. Jasne jest natomiast, że żadna darmowa karta do odkrywcy strony nie dotarła. Każdą tego typu ofertę należy traktować z dystansem, zwłaszcza, jeżeli strona nie jest powiązana z oryginalną domeną i brakuje jej certyfikatów (zielonej kłódki z informacją dla kogo certyfikat wystawiono).

[1] https://www.bleepingcomputer.com/news/security/sites-promoting-free-amazon-gift-cards-dont-deliver-what-you-are-expecting/