l’analisi descrive una frode che sfrutta l’opzione “Shop with Points” di amazon, mettendo in evidenza come i punti premi delle carte di credito possano essere drenati se non si vigila con attenzione. l’esempio riportato riguarda un professionista del settore aeronautico a cui sono spariti, in breve tempo, una quantità significativa di punti accumulati con una carta Chase Ultimate Rewards. emergono elementi chiave sulle modalità dell’attacco, sulle potenziali debolezze dei sistemi di notifica e sulle tempistiche di ripristino dei punti.
shop with points: la frode che prosciuga i punti
nel racconto, Jason Rabinowitz, giornalista di aviazione, riscontra, nel mese di dicembre, una perdita di un importo a sei cifre dai suoi punti Ultimate Rewards. la descrizione lo indica come una serie di transazioni incrementali amazon sospette che avrebbero dovuto attivare allarmi di frode, ma non è stato così. le attività mostrano acquisti multipli su amazon utilizzando i punti guadagnati con la carta sapphire della gamma chase. l’autore ipotizza che l’autore della frode avesse accesso ai dettagli della carta per finalizzare gli acquisti, probabilmente ottenuti tramite una violazione dei dati.
si segnala che non salvare i dati di pagamento sui negozi online rappresenta una precauzione utile, perché potrebbe impedire che la carta venga aggiunta come metodo di pagamento sul conto Amazon della persona malintenzionata. in alternativa, l’attaccante avrebbe potuto associare la carta come metodo di pagamento al proprio account, attivare Shop with Points e utilizzare i punti per gli acquisti.
modalità operativa della frode
la procedura tipica descritta prevede l’esecuzione di una sfruttamento di shop with points per collegare i premi a un account Amazon non legittimo, seguito dall’esecuzione di acquisti tramite i punti. questa catena di azioni richiede la disponibilità della carta di pagamento, la possibilità di collegarla all’account Amazon del truffatore e l’attivazione di una gestione dei punti tramite il programma di premi.
ruolo delle notifiche e dei controlli
secondo le informazioni diffuse, Amazon invia una notifica al partner premi per ogni tentativo di iscrizione correlato al programma, permettendo alle banche di monitorare attività anomale e di avvisare i titolari. L’episodio descritto evidenzia lacune nelle avvertenze ai titolari principali: la pagina di segnalazione di Amazon include una categoria per perdite in cui non è stata condivisa alcuna informazione personale con il truffatore, ma le notifiche dirette al titolare non sempre vengono emesse perché non è noto chi sia l’intestatario principale del conto.
shop with points: non è una pratica esclusiva di Chase
la dinamica non appare esclusiva del banco Chase; esistono discussioni su reddit relative ad american express e capital one con tipologie di frode simili. quando i clienti utilizzano Shop with Points per collegare i premi della carta ad Amazon, la compagnia comunica al partner premi per ogni tentativo, consentendo agli istituti di monitorare attività sospette e di allertare i titolari in caso di potenziale abuso.
nell’indagine si segnala anche che la pagina di segnalazione per le frodi comprende una sezione per perdite senza che siano stati condivisi dati personali o di pagamento con l’esterno. è chiaro che Amazon non invia avvisi diretti al titolare principale dell’account, probabilmente per la difficoltà di identificare chi occupi la carta principale.
i punti tornano completamente
ognuna delle banche emittenti può definire le proprie politiche di notifica. nel caso di Rabinowitz non è stata inviata alcuna notifica iniziale e le transazioni fraudolente tramite Shop with Points non hanno generato avvisi; all’operatività di Chase è stata attribuita una certa efficacia nel rilevare frodi su transazioni in contanti, ma non esisteva, nella situazione descritta, un meccanismo dedicato a prevenire le frodi legate ai punti.
la nota positiva è che la banca ha reagito rapidamente una volta ricevuta la segnalazione: l’intero saldo dei punti è stato recuperato in meno di una settimana. l’esperienza è stata fonte di disagio poiché non sono stati forniti avvisi né strumenti per arrestare la frode in tempo reale. la descrizione ufficiale sulle protezioni del conto fornite da Chase include anche lo scenario dei punti, confermando che la politica si estende anche a queste transazioni.
Lascia un commento