Le truffe via email più pericolose spesso assomigliano ai messaggi più comuni nella tua casella di posta, dicono gli esperti.
Dalle fatture false ai messaggi urgenti in cui si spacciano per funzionari aziendali, gli attacchi di phishing stanno diventando sempre più personalizzati, più sofisticati e più efficaci.
Hanno detto gli esperti Newsweek Nonostante le campagne di sensibilizzazione e le nuove tecnologie di sicurezza, i criminali informatici continuano a superare in astuzia le vittime utilizzando l’agilità, l’inganno e il crescente rilevamento dell’intelligenza artificiale. Si aprono riguardo alle e-mail truffa di cui è probabile che le persone si innamorino.
“Il tipo più comune di phishing è ancora gestito dalle e-mail, che costituiscono circa il 30% di tutti i tentativi di phishing”, ha affermato Dennis Vazovoy, chief product officer di AdGuard VPN. Newsweek. “Le email che richiedono pagamenti rappresentano più o meno la stessa quota, mentre le email di follow-up completano le prime tre categorie.”
Secondo l’Internet Crime Complaint Center (IC3) dell’FBI, nel 2021, 323.972 persone negli Stati Uniti hanno riferito di essere vittime di phishing. Il rapporto più recente dell’FBI del 2024 ha visto quel numero scendere a 193.407, ma supera ancora di gran lunga tutte le altre accuse di criminalità informatica.
Tecniche e temi generali
Vyazovoy spiega che molte truffe si basano sull’ingegneria sociale di base, creando un senso di urgenza per aggirare il pensiero razionale. Le righe dell’oggetto spesso includono “azione richiesta”, “rispondi ora” o “sei disponibile?” Altri si mascherano da messaggi interni riservati, aggiornamenti di conti bancari o inviti di calendario legittimi legati al lavoro.
“Una nuova tendenza di phishing collegata alla popolarità del lavoro a distanza riguarda gli inviti di calendari falsi”, ha affermato. “Queste truffe appaiono automaticamente nel tuo calendario senza autorizzazione e spesso includono collegamenti camuffati da riunioni Zoom o aggiornamenti software.”
La personalizzazione delle e-mail ha raggiunto nuovi traguardi con l’intelligenza artificiale generativa, che consente ai truffatori di imitare da vicino la comunicazione aziendale e gli stili di scrittura, dicono gli esperti.
“Anche lo spear phishing rappresenta una minaccia crescente poiché questi attacchi diventano sempre più sofisticati e difficili da rilevare”, ha affermato Alex Garcia-Tober, CEO della società di sicurezza e-mail Valeimail. Newsweek. “Gli hacker utilizzano l’ingegneria sociale per creare e-mail credibili su misura per individui o dipartimenti”.
La truffa più riuscita di sempre
La raccolta delle credenziali e la compromissione della posta elettronica aziendale (BEC) rimangono due delle tecniche di phishing più dannose, secondo l’esperto di sicurezza informatica Michael Ko, CEO e co-fondatore della piattaforma di autenticazione e sicurezza della posta elettronica Suped.
Nelle truffe di raccolta di credenziali, le e-mail si spacciano per marchi affidabili come Microsoft, Google o Docusign e spingono i destinatari a fare clic su un collegamento fingendo urgenza, ad esempio “Il tuo account è bloccato”, che porta a un portale di accesso falso.
Le truffe BEC, invece, sono più mirate.
“I truffatori si spacciano per dirigenti di alto livello… con una richiesta urgente e confidenziale di ‘pagare queste fatture extra’ o di ‘versare fondi per un’acquisizione segreta’”, ha detto Ko. Newsweek.
Ko ha anche evidenziato la crescente minaccia del “quishing” (phishing tramite codici QR) e del “vishing” o phishing vocale, in cui i truffatori utilizzano voci generate dall’intelligenza artificiale per impersonare persone reali. Ha affermato che le percentuali di clic sulle campagne di phishing sono allarmanti.
“Alcuni rapporti mostrano che in media una campagna di phishing raggiunge una percentuale di clic del 17,8%”, afferma Ko. “Gli attacchi di ‘spear-phishing’ peggiori e altamente mirati possono ingannare più del 50% dei destinatari. Il tempo medio in cui un utente fa clic su un collegamento dannoso è di soli 21 secondi.”
Frode artificialmente intelligente
Secondo numerosi esperti, l’intelligenza artificiale ha abbassato le barriere all’ingresso per i criminali informatici e ha reso i loro attacchi più difficili da rilevare.
“Gli aggressori oggi utilizzano metodi molto sofisticati per indurre le persone a credere che le e-mail di phishing che ricevono provengono dall’azienda che stanno impersonificando”, ha affermato Arne Moehl, co-fondatore del servizio di posta elettronica crittografata Tuta Mail. Newsweek. “Fanno lo spoofing del dominio, dell’indirizzo e-mail di invio, rendono l’e-mail ben progettata con il logo e i colori dell’azienda impersonatrice e altro ancora.”
ha affermato Rosario Mastrogiacomo, responsabile della sicurezza presso la società di gestione delle identità SPHERE Newsweek Le pagine di accesso false che imitano piattaforme come Microsoft 365 o Pay Portal sono ormai un punto fermo delle campagne di phishing. Queste pagine vengono spesso visualizzate dopo che gli utenti hanno fatto clic su collegamenti incorporati in notifiche di documenti condivisi apparentemente innocui o in richieste di reimpostazione della password.
“Stiamo vedendo anche e-mail di un dirigente che richiede bonifici bancari, acquisti di carte regalo o modifiche ai dettagli bancari”, ha affermato Mastrogiacomo. “Spesso aggirano i filtri antispam utilizzando la formattazione del testo semplice e un linguaggio adattato agli stili di comunicazione interna.”
L’aumento delle truffe multicanale, delle voci false e del “quishing”
Il phishing si è evoluto oltre la posta elettronica. Piattaforme di messaggistica come messaggi di testo SMS e WhatsApp sono ora metodi di consegna comuni.
“Per la maggior parte, è lo stesso di sempre: messaggi da Microsoft, PayPal, banche, società di logistica… ma senza errori di ortografia e nel complesso fatti meglio”, ha affermato Artem Bovtyukh, ingegnere senior della sicurezza IT presso MacPow. Newsweek. “E non avviene solo tramite e-mail: il phishing via SMS è ormai molto comune, così come lo è il phishing su app di messaggistica come WhatsApp.”
Il phishing dei codici QR, o “quishing”, sta diventando sempre più diffuso, ha aggiunto Bovtyukh, sostenendo Ko.
ha affermato Robson Jennings, vicepresidente senior dei servizi globali e dell’intelligence presso la società di sicurezza informatica ZeroFox. Newsweek Gli attacchi di maggior successo combinano questi molteplici vettori.
“Le email di phishing diventano sempre più parte di uno schema più ampio”, ha affermato Jennings. “Stiamo assistendo a un aumento di questa strategia di ingegneria sociale a più livelli”.
Dopo un’e-mail di phishing iniziale, i truffatori possono proseguire con un messaggio di testo o una telefonata, a volte utilizzando voci clonate dall’intelligenza artificiale per impersonare persone fidate all’interno dell’organizzazione. Gli esperti hanno detto di stare attenti a queste cose.
Stagionalità e sfruttamento psicologico
I truffatori sono profondamente consapevoli dei periodi in cui le persone hanno maggiori probabilità di essere truffate, come le vacanze o la stagione della ricerca di lavoro.
“Con l’avvicinarsi delle festività, le e-mail di phishing più comuni sfrutteranno marchi affidabili e situazioni di emergenza”, ha affermato Shayla Rana, professoressa di Purdue Global, esperta di sicurezza informatica e intelligenza artificiale. Newsweek. “Pensa a una notifica di consegna del pacco che afferma che la consegna non è riuscita e che è necessaria la verifica dell’indirizzo.”
Rana ha anche citato un esempio eclatante che ha utilizzato la manipolazione emotiva: una campagna di phishing che fingeva il supporto LastPass con l’oggetto “Richiesta legacy aperta (urgente se non sei morto)”.
“Ci sono anche programmi di lavoro da casa e false offerte di lavoro che si sono moltiplicate”, ha detto Rana, “prendendo di mira le persone in cerca di lavoro a distanza”.
Perché la gente ancora ci casca
“Il phishing è uno dei tipi di truffe via email più comuni ed efficaci perché si basa sull’inganno e sulla familiarità”, ha affermato Ann Cutler, esperta di sicurezza informatica presso Keeper Security. Newsweek.
Gli aggressori spesso si spacciano per colleghi, banche o addirittura familiari. Una leggera modifica nel testo, come la sostituzione della lettera “m” con “rn”, può ingannare anche i lettori più attenti.
“Queste truffe spesso raggiungono il picco di frequenza in occasione di eventi che coinvolgono transazioni digitali”, ha aggiunto.
Il filo conduttore di tutte le truffe è la manipolazione psicologica: urgenza, autorità, paura e fiducia.
“L’obiettivo principale è spingere il destinatario ad agire rapidamente senza perdere tempo a pensare o ricontrollare”, afferma Vyazovoy.
