Negli ultimi giorni il Cyber Threat Intelligece Team di D3Lab ha rilevato la diffusione di una campagna di Scam che sfrutta il brand Conad, una delle principali catene di supermercati italiane.
L’obiettivo dei criminali è ingannare gli utenti inducendoli a sottoscrivere inconsapevolmente un abbonamento a pagamento, mascherato da premio fedeltà.

È importante chiarirlo subito: Conad non è coinvolta nella frode ed è a sua volta una vittima dell’abuso del proprio marchio, esattamente come gli utenti che ricevono queste comunicazioni.

Scam e Phishing: due minacce diverse

Prima di analizzare la campagna nel dettaglio, è utile chiarire una distinzione fondamentale.

Nel phishing, i criminali cercano di rubare direttamente dati sensibili come password, credenziali di accesso o numeri di carta di credito, per poi utilizzarli in modo illecito.

In questo caso, invece, siamo di fronte a uno scam. Lo scam non punta al furto immediato delle credenziali, ma a convincere la vittima a pagare volontariamente, spesso attivando abbonamenti ricorrenti nascosti tra condizioni contrattuali poco visibili. Il pagamento avviene tramite circuiti reali e perfettamente funzionanti, rendendo la frode più difficile da individuare.

L’email fraudolenta: il primo contatto

La campagna inizia con un’email che invita a riscattare presunti punti fedeltà Conad in scadenza.
Il messaggio utilizza un tono rassicurante e un forte senso di urgenza, facendo leva su una scadenza temporale reale dei punti fedeltà, rendendo la comunicazione particolarmente credibile.

Un primo segnale di allarme è il mittente, che non ha alcun collegamento con Conad. Tuttavia, molti utenti non controllano questo dettaglio e cliccano sul pulsante “Riscatta i miei punti”.

Il sito falso che imita Conad

Cliccando sul link presente nell’email, l’utente viene reindirizzato su un sito web che riproduce fedelmente grafica e colori del brand Conad, ma che utilizza un dominio completamente estraneo.

Qui viene chiesto di “verificare la propria identità” inserendo, a scelta, il numero della carta Conad, l’indirizzo email o il numero di telefono. In realtà, qualsiasi dato inserito produce lo stesso risultato, perché non avviene alcuna verifica reale ed al criminale quei dati realisticamente non interessano.

Nel footer della pagina compare una dicitura come “Campagna promozionale valida fino al 26/12/2025”, un dettaglio studiato per dare un’apparente legittimità all’iniziativa e ridurre i sospetti.

Il falso bonus e il premio “troppo bello per essere vero”

Dopo la finta verifica, all’utente viene comunicato di aver ricevuto un bonus elevato, utilizzabile per riscattare un premio di valore, come una friggitrice ad aria Philips, disponibile a un prezzo simbolico di pochi euro.

Questo passaggio è cruciale dal punto di vista psicologico: il valore del premio mostrato è molto più alto rispetto alla cifra richiesta, spingendo l’utente a pensare di fare un affare imperdibile.

I dati di spedizione e le “spese minime”

Per ricevere il premio, vengono richiesti nome, indirizzo, città e numero di telefono. Subito dopo, compaiono le spese di spedizione, pari a 9,99 euro.

È importante sottolinearlo: nessun premio verrà mai spedito. Questo passaggio serve solo a rendere credibile l’operazione e a portare la vittima verso il pagamento.

I termini nascosti e l’abbonamento ricorrente

Durante il processo, il dominio del sito cambia più volte. Se l’utente guarda il footer (la parte inferiore del sito internet) emerge finalmente la vera natura della truffa: non si sta pagando una spedizione, ma si sta attivando un servizio in abbonamento.

Tra testi lunghi, a volte scritti in inglese, viene indicato che dopo un breve periodo iniziale all’utente saranno addebitati automaticamente ogni 14 giorni degli importi elevati, superiori ai 60 euro.

Il pagamento finale e i circuiti leciti

In questa fase finale della truffa, l’utente viene indirizzato a una pagina di pagamento che utilizza circuiti di pagamento leciti e perfettamente funzionanti, comunemente impiegati anche da attività commerciali regolari.
Nel caso specifico della campagna analizzata, i criminali sfruttano il circuito di pagamento CelerisPay, un servizio legittimo utilizzato da numerose attività online.

Questo aspetto rende la frode particolarmente insidiosa: dal punto di vista tecnico, il pagamento appare regolare e viene gestito da un intermediario affidabile, che non è consapevole della natura fraudolenta della campagna. Il sistema interpreta infatti l’operazione come la sottoscrizione volontaria di un servizio online.

I criminali si presentano come finti negozi online (che cambiano frequentemente nome e dominio) e utilizzano questi circuiti per attivare addebiti automatici ricorrenti sulla carta della vittima. Di conseguenza, l’utente non subisce un furto immediato, ma si ritrova nel tempo con addebiti periodici difficili da ricondurre all’operazione iniziale.

Conclusioni

Questa campagna dimostra come oggi le frodi online non si basino più solo sul furto diretto di dati, ma su meccanismi più sofisticati, che sfruttano la fiducia nei brand noti e l’utilizzo di infrastrutture di pagamento lecite.

Il consiglio rimane sempre lo stesso: diffidare di offerte inattese, soprattutto quando fanno leva su urgenza, premi di alto valore e piccoli pagamenti iniziali. In caso di dubbio, è sempre meglio verificare direttamente sui canali ufficiali del brand coinvolto.

D3Lab continuerà a monitorare e analizzare questo tipo di campagne per aiutare utenti e aziende a riconoscere e prevenire le frodi digitali.