Da molti anni le e-mail di phishing sono tra gli attacchi informatici più frequenti. Negli ultimi tempi, tuttavia, si moltiplicano le segnalazioni di attacchi mirati, spesso particolarmente subdoli.
Per sua natura il phishing si basa sui grandi numeri: i criminali inviano grandi quantità di e-mail, nella speranza che una piccola percentuale di destinatari ci caschi. Tuttavia, l’Ufficio federale della cibersicurezza (UFCS) constata un numero crescente di attacchi mirati, realizzati in quantità minori e con un maggiore dispendio di risorse, ma anche con una maggiore percentuale di successo (il cosiddetto spear phishing).
Secondo un nuovo schema di truffa, ad esempio, le persone ricevono un’e-mail dall’aspetto innocuo che sembra provenire da una banca e richiede l’aggiornamento dei dati personali. Dopo aver fatto clic sul link, si apre un sito della banca dall’aspetto ingannevolmente autentico – fino a qui, nulla di nuovo per un’e-mail di phishing.
Su questa pagina contraffatta viene chiesto di inserire dati come nomi e numeri di telefono. Non si sollecitano dati della carta di credito o password. Molti consumatori inseriranno tali informazioni senza esitazione, visto che non sembra trattarsi di dati particolarmente sensibili.
Tuttavia, la raccolta di dati rappresenta solo la prima fase dell’attacco. I criminali si fanno vivi di nuovo, questa volta per telefono, spacciandosi per rappresentanti della banca della vittima. A volte sullo schermo appare persino il numero di telefono giusto dell’istituto finanziario in questione – con una procedura nota anche come «Call ID Spoofing» (falsificazione del numero di telefono).
Durante la conversazione, l’interlocutore si rivolge alla vittima usando il nome giusto, e fornendo altri dettagli personali – p. es. l’indirizzo di casa – riesce a conquistarsene la fiducia in modo mirato. Successivamente, il presunto collaboratore della banca indica come motivo della chiamata, ad esempio, l’identificazione di un trasferimento fraudolento. Per bloccare la transazione, bisognerebbe scansionare un codice QR con l’app di e-banking o Mobile Banking. La scansione del codice QR, però, apre l’accesso al proprio conto di e-banking per i truffatori.
La procedura si fonda su un principio semplice ma efficace: la sana diffidenza diminuisce notevolmente quando l’interlocutore possiede già numerose informazioni sulla vittima. Per maggiori informazioni su come proteggersi da queste truffe, consultate il nostro articolo sul phishing.
