Sta circolando un invito a diventare “tester gratuito” di Microsoft Surface, diffuso porta‑a‑porta e tramite il dominio usgifts.site, a nome di un certo Christopher Webb. In questa guida spieghiamo perché si tratta di una truffa, come riconoscerla, cosa fare subito e come proteggere altri utenti.
Panoramica del caso
Alcuni utenti hanno segnalato di aver ricevuto, di persona e online, un invito a fare da “tester gratuito” per laptop Microsoft Surface. L’iniziativa viene attribuita a un certo Christopher Webb e rimanda al sito usgifts.site, con la promessa di ricevere un dispositivo a costo zero in cambio di una prova o di una recensione. La richiesta può arrivare con volantini, messaggi privati, moduli web o QR code.
La domanda è legittima: si tratta di una reale campagna Microsoft oppure è un raggiro?
Perché è una truffa
Il verdetto è netto: è una truffa. Ecco i motivi principali, confermati da comunicazioni di moderazione Microsoft e dalle buone pratiche dell’azienda:
- Nessuna iniziativa ufficiale: Microsoft non organizza campagne di prova hardware tramite porta‑a‑porta né utilizza domini generici o non ufficiali per reclutare tester. Qualsiasi programma legittimo viene comunicato su domini Microsoft verificati.
- Mittente non riconosciuto: il nome Christopher Webb non risulta collegato a programmi ufficiali Microsoft relativi a Surface o a test pubblici di dispositivi.
- Rischi concreti: rispondere o interagire con l’offerta può esporre a furto di dati, installazione di malware, clonazione di documenti d’identità e perdite economiche (ad esempio “piccole spese di spedizione” che aprono abbonamenti occulti).
- Azione consigliata: ignorare l’offerta, non fornire dati personali, non scaricare file, e segnalare l’accaduto ai canali appropriati per evitare che altri cadano nello stesso tranello.
Elementi che smascherano il raggiro
Quando si valuta un invito del genere, cerca questi segnali d’allarme:
- Dominio sospetto: l’URL
usgifts.sitenon è riconducibile a Microsoft. I programmi legittimi usano domini comemicrosoft.comosurface.com, oppure pagine di partner certificati. - Canale inusuale: il reclutamento tramite porta‑a‑porta, volantini o messaggi privati non è coerente con la prassi di un vendor globale. È un trucco tipico del social engineering locale.
- Pressione e urgenza: “posti limitati”, “rispondi adesso”, “non perdere l’occasione”. L’urgenza spinge a non verificare.
- Richiesta di dati o pagamenti: viene chiesto di inviare documenti, foto del documento d’identità, numeri di carta o di pagare una “spesa di spedizione”. Un test legittimo non parte da qui.
- Linguaggio generico: errori grammaticali, copyright assenti, marchi usati in modo impreciso, mancanza di una privacy policy solida e di note legali.
- Assenza di verificabilità: non esistono riferimenti incrociati su canali ufficiali, newsroom, blog o comunicati dell’azienda.
Verifiche veloci per capire se un’offerta è reale
Prima di fidarti, applica queste verifiche pratiche:
- Controlla il dominio: deve terminare con
microsoft.comosurface.com. Diffida di domini generici o di primo livello “esotici” come.site,.gift,.top, soprattutto se non c’è una pagina ufficiale che li cita. - Cerca la coerenza del brand: loghi corretti, footer legale, indirizzo reale, partita IVA o entità legale verificabile.
- Verifica il canale: Microsoft comunica iniziative sostanziali tramite pagine ufficiali e canali social verificati. Il porta‑a‑porta non è un canale adottato per distribuzioni di hardware in test.
- Contatta il supporto: in dubbio, chiedi conferma al supporto Microsoft o a un rivenditore certificato della tua area.
- Non fidarti dei link accorciati: evita link di reindirizzamento non necessari e QR code senza anteprima.
Confronto fra offerta legittima e truffa
| Caratteristica | Iniziativa legittima | Campagna truffa |
|---|---|---|
| Dominio | Pagina su microsoft.com o surface.com; URL coerente | usgifts.site o domini generici; URL poco trasparente |
| Canale di contatto | Annuncio su siti ufficiali o partner certificati | Porta‑a‑porta, QR casuali, messaggi privati |
| Richieste iniziali | Informazioni minime e verificabili | Dati sensibili, anticipi per spedizione, documenti d’identità |
| Trasparenza | Privacy policy, termini, contatti aziendali reali | Assenza di note legali, brand incoerente |
| Verificabilità | Comunicati e riferimenti incrociati su canali ufficiali | Nessuna conferma su fonti ufficiali |
| Frequenza errori | Contenuti editoriali curati | Errori grammaticali, immagini sgranate, refusi |
Cosa fare subito se hai ricevuto l’invito
- Non interagire: non cliccare, non scansionare QR, non compilare formulari.
- Conserva le prove: fai screenshot della pagina, dell’URL, dell’eventuale volantino o messaggio ricevuto.
- Segnala: avvisa la community e i canali ufficiali. Se usi Outlook, usa l’opzione Segnala phishing. In alternativa invia una copia del messaggio a phish@office365.microsoft.com (per account Microsoft 365).
- Proteggi i tuoi account: se hai inserito dati, cambia subito le password e attiva l’autenticazione a due fattori.
- Scansiona il dispositivo: esegui un controllo con la sicurezza integrata di Windows per escludere malware.
Come eseguire una scansione con la sicurezza di Windows
Su Windows puoi usare la protezione integrata per verificare che il sistema sia pulito:
- Apri Impostazioni > Privacy e sicurezza > Protezione di Windows.
- Seleziona Protezione da virus e minacce > Opzioni di analisi.
- Esegui una analisi completa o una analisi offline per rimuovere eventuali minacce prima dell’avvio del sistema.
Al termine, riavvia il PC e verifica che il browser non presenti estensioni o impostazioni sospette (motore di ricerca cambiato, homepage alterata, popup anomali).
Come mettere in sicurezza account Microsoft ed email
- Cambia la password dell’account Microsoft e della tua casella email utilizzata per la registrazione.
- Attiva l’autenticazione a due fattori con app di autenticazione.
- Rimuovi sessioni e dispositivi sospetti dall’account, revocando l’accesso a app sconosciute.
- Verifica l’indirizzo di recupero e aggiorna domande di sicurezza.
- Controlla le regole della posta in Outlook: elimina regole che spostano i messaggi o li inoltrano a indirizzi terzi senza il tuo consenso.
Se hai fornito documenti o pagato qualcosa
- Blocca la carta o il metodo di pagamento e contatta l’istituto emittente per attivare la procedura di rimborso in caso di addebiti fraudolenti.
- Avvisa le autorità competenti nella tua giurisdizione, fornendo le prove raccolte.
- Monitora le identità digitali: se hai inviato documenti, valuta un servizio di monitoraggio o richiedi avvisi su movimenti anomali associati ai tuoi dati.
Perché il porta‑a‑porta è un campanello d’allarme
Il contatto fisico non richiesto è una leva psicologica nota: mostrare un badge improvvisato, un volantino con loghi e un tono amichevole riduce le difese. Nessun brand di questa portata affida la selezione di tester hardware a sconosciuti porta‑a‑porta. Se qualcuno suona alla porta con offerte di dispositivi, rifiuta cortesemente e documenta quanto accaduto.
Come leggere un indirizzo web in modo sicuro
Gli attori malevoli contano sull’abitudine a leggere distrattamente gli URL. Ecco un metodo pratico:
- Individua il dominio di secondo livello prima dell’estensione: in
promozione.surface.com.example.siteil dominio vero èexample.site, nonsurface.com. - Evita di cliccare: scrivi a mano l’indirizzo del sito ufficiale nel browser e naviga partendo da lì.
- Attenzione agli omografi: caratteri simili possono ingannare (ad esempio sostituzioni di lettere). Se un indirizzo ti sembra “strano”, fermati.
- Diffida dei moduli che chiedono molto: un form che pretende carta d’identità, codice fiscale, selfie e carta di credito per “validare l’età” è un segnale evidente di abuso.
Modello di segnalazione da copiare e incollare
Puoi usare il testo seguente quando invii una segnalazione al tuo reparto IT, al supporto o all’indirizzo dedicato alle segnalazioni di phishing.
Oggetto: Possibile truffa “tester gratuito” Microsoft Surface Ho ricevuto un invito porta‑a‑porta / online a diventare “tester gratuito” di laptop Microsoft Surface, a nome di “Christopher Webb”. Il link indicato è: usgifts.site Non ho cliccato né fornito dati. Allego screenshot e dettagli (data, ora, eventuali mittenti o volantini). Chiedo verifica e, se confermato, blocco e segnalazione per proteggere altri utenti.
Esempi di messaggi ingannevoli
- “Complimenti! Sei stato selezionato come tester ufficiale Surface. Ultimi posti disponibili, conferma entro oggi su
usgifts.site.” - “Per spedire il tuo laptop di prova serve solo un piccolo contributo di spedizione. Inserisci i dati della carta, verrai rimborsato.”
- “Siamo un partner Microsoft autorizzato. Invia foto del documento per convalidare l’età, poi riceverai il pacco.”
Domande frequenti
Perché un dominio come .site è sospetto
Molti TLD generici possono essere usati in modo legittimo, ma vengono anche scelti dai truffatori perché costano poco, sono registrabili in pochi minuti e permettono di ruotare velocemente fra più nomi simili. Se l’iniziativa fosse reale, esisterebbe una pagina ufficiale verificabile su un dominio Microsoft.
Esistono programmi veri di test hardware
Alcune aziende talvolta coinvolgono utenti o partner per test mirati, ma la prassi è trasparente, documentata su siti ufficiali e mai basata su raccolta porta‑a‑porta di dati sensibili o anticipi di denaro. In ambito Microsoft, le iniziative legittime sono annunciate e verificabili sui domini ufficiali.
Posso fidarmi di un QR code su un volantino
Il QR code è solo un link. Senza anteprima, non sai dove porta. Se l’origine non è certa, meglio ignorare. Se devi proprio verificarlo, usa un lettore che mostri l’URL completo prima di aprirlo e controlla che appartenga a domini ufficiali.
Cosa rischio se ho già inserito i miei dati
Oltre a possibili addebiti non autorizzati, corri il rischio di furto d’identità, uso improprio di documenti e tentativi di accesso ai tuoi account. Segui subito i passaggi di protezione: cambio password, attivazione dell’autenticazione a due fattori, blocco del metodo di pagamento e segnalazione dell’incidente.
Checklist operativa
- Non cliccare su link né aprire allegati sconosciuti.
- Fai uno screenshot di pagina, URL e messaggi ricevuti.
- Segnala l’evento tramite gli strumenti del tuo client di posta.
- Invia la segnalazione a phish@office365.microsoft.com se utilizzi un account Microsoft 365.
- Cambia password e abilita l’autenticazione a due fattori.
- Esegui una scansione completa con la sicurezza di Windows.
- Controlla estratti conto e blocca pagamenti sospetti.
- Avvisa familiari e colleghi per prevenire ulteriori raggiri.
Consigli di prevenzione a lungo termine
- Usa password robuste e un gestore di credenziali per evitare riutilizzi pericolosi.
- Attiva l’autenticazione a due fattori ovunque possibile, in particolare sugli account principali.
- Imposta avvisi di sicurezza sull’email (accessi da nuovi dispositivi, regole di inoltro create, ecc.).
- Verifica periodicamente le estensioni del browser e rimuovi quelle non essenziali o sospette.
- Diffida di promesse troppo allettanti: dispositivi costosi gratis in cambio di “un’opinione” sono quasi sempre un’esca.
Messaggi chiave da ricordare
- L’offerta “tester gratuito” Surface non è ufficiale e non proviene da canali Microsoft.
- Il mittente indicato come “Christopher Webb” non è collegato a programmi Microsoft Surface.
- Il dominio usgifts.site è estraneo all’ecosistema Microsoft e va evitato.
- La scelta sicura è ignorare e segnalare. Così proteggi te stesso e la comunità.
Raccolta di indizi tecnici da verificare
Se vuoi approfondire, ecco alcuni aspetti tecnici che aiutano a smascherare i raggiri:
- Certificato del sito: un certificato valido non basta, ma un certificato mancante o mal configurato è un forte indizio.
- Struttura dell’URL: catene di reindirizzamenti, parametri eccessivi e percorsi incongruenti sono segnali di costruzione frettolosa.
- Footer e note legali: assenza di informazioni societarie, privacy policy copiate, riferimenti legali inconsistenziati.
- Contenuti e grafica: uso improprio di marchi, immagini stock ricorrenti, errori di localizzazione, sezioni “Lorem ipsum”.
- Contatti: numeri non attivi, caselle email generiche o che non appartengono al dominio dichiarato.
Come parlare di sicurezza con chi non è tecnico
La miglior difesa è la consapevolezza. Spiega a familiari e colleghi che le aziende non regalano laptop a sconosciuti, che nessuno chiede documenti via modulo non verificato e che la fretta è la vera arma del truffatore. Una regola semplice: se è troppo bello per essere vero, probabilmente non è vero.
Conclusione
L’invito a diventare “tester gratuito” di Microsoft Surface attribuito a “Christopher Webb” e veicolato tramite usgifts.site è un raggiro. Non fornire dati personali, non scaricare file, non pagare spese di alcun tipo. Ignora e segnala usando gli strumenti del tuo client di posta o scrivendo a phish@office365.microsoft.com se utilizzi Microsoft 365. Verifica sempre che eventuali promozioni provengano da microsoft.com o surface.com o da rivenditori certificati. Con poche abitudini di igiene digitale puoi evitare danni, proteggerti e aiutare altri utenti a non cadere nella trappola.
In sintesi: l’invito è una truffa; non fornire informazioni personali, non scaricare file e avvisa altri utenti per prevenire ulteriori raggiri.