Settimana 40: Phishing tramite annunci – i truffatori ora diffondono malware invece di semplici link di phishing

Service navigation

Ricerca

Navigazione

Settimana 40: Phishing tramite annunci – i truffatori ora diffondono malware invece di semplici link di phishing

07.10.2025 - Attenzione alle vendite online: La ben nota truffa sulle piattaforme di annunci, in cui i criminali usano i siti web per rubare i dati delle carte di credito, ha conosciuto un pericoloso sviluppo. Invece di attirare semplicemente le vittime su siti di phishing, i truffatori cercano ora di indurle a installare malware. Il malware «info stealer» installato sottrae non solo i dati di accesso individuali, ma anche tutte le password, le informazioni finanziarie e i dati personali memorizzati sul computer. L’attuale rassegna settimanale analizza la nuova tattica e spiega come proteggersi.

I tentativi di frode sulle piattaforme di piccoli annunci rimangono una minaccia persistente. Finora questi seguivano uno schema familiare: un presunto acquirente contatta il venditore, dirotta rapidamente la comunicazione su WhatsApp e invia al venditore un link o un codice QR che porta a un falso sito web della PostFinance o di un fornitore di servizi di pagamento e finge che il venditore riceverà il denaro una volta confermato il pagamento. L’obiettivo è il classico phishing: sottrarre i dati delle carte di credito o l’accesso all’e-banking. Tuttavia, recenti episodi mostrano una preoccupante acutizzazione di questo metodo. Se le vittime non rispondono al phishing, i truffatori cercano di indurle a eseguire il malware. Questo adeguamento tattico è una reazione alla maggiore sensibilizzazione della popolazione nei confronti dei link di phishing. Poiché gli utenti sono sempre più in grado di riconoscere gli indirizzi web sospetti, i criminali si stanno concentrando su nuovi vettori di attacco, in questo caso l’apertura di un presunto documento.

Analisi di un incidente attuale

Un caso riportato all’UFCS illustra in dettaglio la nuova procedura.

Fase 1: Stabilire un contatto e infondere fiducia
Per rispondere alla pubblicazione un articolo, un interessato si mette in contatto e chiede di continuare la conversazione su WhatsApp. Per ispirare fiducia, viene utilizzato un numero di cellulare svizzero, che suggerisce una presenza locale e la legittimità del venditore.

Fase 2: Falsa conferma di pagamento come prima esca
Inizialmente, i malintenzionati si affidano a una truffa già nota: inviano un file PDF mascherato da fattura ufficiale di PostFinance e contenente un codice QR.

Si tratta di un classico caso di phishing: Il potenziale acquirente invia al venditore una presunta conferma di pagamento da parte della PostFinance.
Si tratta di un classico caso di phishing: Il potenziale acquirente invia al venditore una presunta conferma di pagamento da parte della PostFinance.

Fase 3: L’escalation verso il malware:
Se il venditore non reagisce come desiderato al primo tentativo, segue l’attacco vero e proprio. I criminali inviano un file ZIP con il nome «Twint-Rechnung.zip».  Anche in questo caso, il nome del file fa leva su un nome fidato di un noto provider di servizi per adescare la vittima in un falso senso di sicurezza.

Fase 4: Manipolazione psicologica (social engineering):
L’invio del file è accompagnato da una forte pressione psicologica. Messaggi come «Controlla immediatamente» creano un senso di urgenza che ha lo scopo di indurre le persone ad agire in modo avventato. Tuttavia, un’istruzione specifica è fondamentale: «Aprilo sul computer, solo il computer supporta questo formato di documento! Non funziona con un telefono cellulare!». Questa istruzione non è un aiuto tecnico, ma una necessità strategica per l’attacco, poiché il malware prende di mira password, cookie e dati finanziari che possono essere memorizzati nel profilo del browser di un computer. Inoltre, il malware non funziona affatto sui telefoni cellulari poiché è stato creato per ambienti Windows. I truffatori indirizzano quindi deliberatamente le loro vittime verso un sistema favorevole e vulnerabile.

L’acquirente invia il malware in un file ZIP ed esercita pressione sul venditore.
L’acquirente invia il malware in un file ZIP ed esercita pressione sul venditore.

Che cosa sono gli «info stealer»?

Il malware contenuto nel file ZIP è un cosiddetto «info stealer». Questo tipo di malware è specializzato nel raccogliere informazioni sensibili dal computer della vittima in modo rapido e discreto e nell’inviarle a un server controllato dai criminali. A differenza del phishing classico, che cattura solo le informazioni inserite dall’utente nella pagina preparata, come il numero di carta di credito, il nome utente e la password, il danno causato da un «info stealer» è molto più ingente perché prende di mira le seguenti informazioni:

  • Dati di accesso salvati (nomi utente e password) da tutti i browser web installati.
  • Informazioni finanziarie e dati della carta di credito.
  • Cookie di sessione che consentono ai cibercriminali di accedere agli account online della vittima senza password.
  • Dati provenienti da portafogli di criptovalute.
  • Documenti personali e informazioni di sistema.

Raccomandazioni

  • Non fidatevi dei file che vi vengono inviati senza sollecito:
    Considerate qualsiasi file inviatovi da un potenziale acquirente come potenzialmente dannoso. Non aprite mai gli allegati per confermare un pagamento.
  • In qualità di venditore, siete voi a stabilire le regole:
    Insistete sul vostro metodo di pagamento preferito e sicuro. Non lasciatevi coinvolgere in processi complicati che richiedono di cliccare su link o scaricare file. Per ricevere denaro, non è mai necessario inserire i dati della carta di credito o confermare un codice.
  • Controllate i pagamenti in arrivo direttamente nella vostra app o nell’e-banking:
    L’unica prova di pagamento valida è la ricezione dei fondi sul conto bancario ufficiale o sul conto Twint. Non fidatevi di screenshot, PDF o e-mail di conferma.
  • Tenete sempre aggiornati i vostri sistemi operativi:
    Assicuratevi che il sistema operativo, il browser web e il software antivirus siano sempre aggiornati. Gli attuali software di sicurezza sono in grado di riconoscere e bloccare molti «info stealer» noti.
  • Cosa fare se sospettate di essere stati infettati?
    Se sospettate di aver aperto un file dannoso, scollegate immediatamente il computer da Internet. Cambiate immediatamente tutte le password importanti (e-mail, e-banking, social media) da un altro dispositivo sicuro (ad esempio, lo smartphone). Segnalate l’accaduto all’UFCS e sporgete denuncia presso la vostra autorità di polizia. Potete trovare la stazione di polizia più vicina a voi tramite il sito Suisse ePolice.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 07.10.2025

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2025/wochenrueckblick_40.html