Settimana 22 : Phishing in due fasi - Ecco come i criminali aggirano le classiche misure di sicurezza

Service navigation

Ricerca

Navigazione

Settimana 22 : Phishing in due fasi - Ecco come i criminali aggirano le classiche misure di sicurezza

03.06.2025 - Da anni il phishing è uno degli eventi più frequentemente segnalati. È un fenomeno di massa: i phisher inviano grandi quantità di e-mail nella speranza che una piccola percentuale di destinatari cada nella loro trappola, puntando sulla quantità anziché sulla qualità. L’UFCS osserva sempre più spesso attacchi mirati, perpetrati sì in numero minore e con un maggiore dispendio di risorse, ma anche con una maggiore percentuale di successo. La scorsa settimana è stato segnalato all’UFCS un caso particolare che utilizza una procedura di attacco in due fasi e che esemplifica la crescente complessità degli attacchi di phishing.

La scorsa settimana è stato segnalato all’UFCS un caso particolare che utilizza una procedura di attacco in due fasi e che esemplifica la crescente scaltrezza dei phisher. La nuova truffa inizia in modo apparentemente innocuo con un’e-mail che sembra provenire da una banca: nell’ambito di una presunta linea guida di conformità di un istituto finanziario e per garantire l’accuratezza dei dati dei clienti, occorre effettuare un aggiornamento dei dati personali.

E-mail in cui si comunica che i dati del cliente devono essere aggiornati.
E-mail in cui si comunica che i dati del cliente devono essere aggiornati.

Dopo aver cliccato sul link, si apre un sito web che assomiglia in tutto e per tutto a quello della banca in questione e in cui vengono richiesti dati come numeri di contratto (ad esempio contratto di e-banking), nome e numero di telefono. Molti utenti di Internet inseriscono tali informazioni senza pensarci troppo su, poiché a prima vista i dati richiesti non appaiono particolarmente sensibili. Non vengono richiesti dati relativi a carte di credito o password. Dopo aver inserito i dati, si viene reindirizzati alla homepage della banca in questione.

Non si tratta quindi di un classico attacco di phishing. Anche l’UFCS si limita ad avvertire gli utenti di prestare particolare attenzione quando sui siti web si devono inserire dati sensibili come quelli della carta di credito o le password. Ed è proprio questo che rende tale metodo così pericoloso, come dimostra la fase successiva dell’attacco.

Sito web in cui devono essere inseriti dati come il numero di contratto, il nome, il cognome e il numero di telefono.
Sito web in cui devono essere inseriti dati come il numero di contratto, il nome, il cognome e il numero di telefono.

La chiamata

Tuttavia, i dati raccolti dai criminali sono solo il primo passo per compiere la frode vera e propria. Il secondo passo avviene qualche giorno dopo: i criminali si fanno vivi di nuovo, questa volta per telefono, fingendo di lavorare per la banca. In effetti viene visualizzato il numero di telefono del fornitore di servizi finanziari in questione.

Chi chiama si rivolge alla vittima usando il suo nome corretto e inserendo nella conversazione dati personali come l’indirizzo di casa o le informazioni sulla carta bancaria. I criminali dedicano tempo alla chiamata e spesso l’intera conversazione dura diversi minuti: l’obiettivo è guadagnare la fiducia della vittima servendosi della conversazione e dei dati raccolti in precedenza. Una volta che il presunto collaboratore della banca si è guadagnato la fiducia della vittima, dichiara il vero motivo della telefonata e afferma che è stato effettuato un bonifico fraudolento a favore di un hotel di Milano, che ora deve essere bloccato. Per bloccare questa transazione e proteggere il conto, è necessario scansionare un codice QR con l’app di e-banking.

La vittima però non si rende conto che, scansionando questo codice QR, consente ai truffatori di accedere al suo conto di e-banking. Con questo metodo, i truffatori sfruttano il secondo fattore di autenticazione.

Attacchi di phishing mirati: un trend

Mentre le classiche campagne di phishing puntano piuttosto sulla quantità, l’UFCS osserva sempre più spesso anche attacchi mirati. Sebbene richiedano un maggior dispendio di risorse, a quanto pare offrono maggiori possibilità di successo.

Un esempio tipico di questo trend sono i cosiddetti attacchi di phishing tramite annunci. In questo caso, sui siti di annunci i truffatori si fingono potenziali acquirenti che, a detta loro, desiderano pagare tramite un servizio di pagamento sicuro. Le vittime vengono attirate su siti web dall’aspetto apparentemente autentico, dove poi inseriscono i loro dati. Anche in questi casi, per prima cosa i criminali cercano di guadagnarsi la fiducia delle vittime. Facendo riferimento a una vendita su una piattaforma di annunci, l’e-mail di phishing non giunge all’improvviso, ma si ricollega a una situazione familiare. Questo modo di procedere è noto e sfrutta un principio semplice ma efficace: la sana dose di scetticismo si riduce notevolmente se la vittima si trova in un ambiente che conosce bene o se la controparte dispone già di molte informazioni sulla vittima.

Misure

  • Diffidate delle richieste innocue: anche quando non vengono chiesti dati sensibili, può trattarsi del primo passo di un attacco. Se fornite dati personali, questi possono essere utilizzati per attacchi mirati.
  • Scansionate i codici QR con l’app di e-banking solo se siete assolutamente sicuri di trovarvi sul sito originale. Non trasmettete mai codici TAN o password: nessun fornitore attendibile vi chiederà mai di fornire queste informazioni al telefono o via e-mail.
  • Non fornite dati personali e sensibili tramite il telefono.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 03.06.2025

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2025/wochenrueckblick_22.html