Con oltre 62’000 segnalazioni, l’Ufficio federale della cibersicurezza (UFCS) registra ancora una volta un forte aumento dei ciberincidenti rispetto al periodo precedente. In crescita soprattutto i casi di phishing telefonico (voice-phishing / vishing).
Le statistiche dell’Ufficio federale della cibersicurezza (UFCS) mostrano che il phishing costituisce ancora una delle principali sfide per l’economia e la popolazione della Svizzera. Dopo le truffe, i tentativi di phishing sono il secondo ciberincidente più segnalato all’UFCS nel 2024: 12’038 casi, ovvero 2’623 in più rispetto all’anno precedente. Oltre al consueto phishing via e-mail, lo scorso anno si è diffuso notevolmente anche l’approccio telefonico (voice-phishing / vishing). Vanno ancora per la maggiore i tentativi di phishing a nome di fornitori di servizi finanziari. Nel 2024 i truffatori si sono serviti soprattutto della tecnica delle «telefonate di presunto personale di banca», diffusasi per la prima volta negli anni 2010. La procedura rimane la stessa, ma il pretesto usato dai truffatori ora è cambiato.
Ad esempio, i truffatori si presentano come collaboratori del reparto di sicurezza di un istituto finanziario e affermano di voler interrompere un pagamento fraudolento. Perfidamente, sullo schermo della vittima appare il vero numero di telefono dell’istituto finanziario, contraffatto tramite «spoofing». Per fermare un presunto addebito fraudolento, i truffatori forniscono direttamente un numero falso per telefonare alla presunta polizia – in realtà, risponderanno i truffatori stessi. Dopodiché si cerca di sottrarre denaro alla vittima e/o di ottenere l’accesso ai suoi conti tramite istruzioni e link falsi.
Questo tipo di phishing, classificato come «voice phishing» o «vishing», permette ai truffatori di agire in tempo reale, ciò di cui hanno bisogno per accedere ad applicazioni protette tramite autenticazione a più fattori (MFA) come l’e-banking. L’MFA riduce il rischio di compromissione, ma può essere neutralizzata con tecniche di social engineering.
Ancora una volta, una sana dose di scetticismo aiuta a ricordare che le banche svizzere non chiedono mai informazioni di sicurezza come password, numeri o token delle applicazioni MFA.
Ulteriori informazioni sul fattore umano sono disponibili qui.
Il rapporto semestrale 2024/II (luglio-dicembre) dell’UFCS è disponibile qui.
