CheckBlackList

Ecco le 4 nuove tecniche di Phishing che rubano i tuoi dati

Ecco le 4 nuove tecniche di Phishing che rubano i tuoi dati

Per Chi Ha Fretta

Gli attacchi di phishing stanno diventando estremamente sofisticati, evolvendosi per aggirare le comuni difese digitali. La tendenza più allarmante attualmente è il passaggio, dai semplici link, a tecniche che sfruttano piattaforme e dispositivi che gli utenti considerano solitamente più sicuri (come gli smartphone).

Le nuove minacce includono: l’uso di Codici QR (noto come Quishing) integrati in email fasulle, il cui link dannoso viene scansionato con il telefono (meno protetto del PC); l’abuso degli inviti di calendario per veicolare link truffa tramite promemoria automatici; l’invio di allegati protetti da password per evitare la scansione antivirus; e, soprattutto, l’utilizzo di siti proxy per rubare le credenziali in tempo reale, aggirando persino l’Autenticazione a più Fattori (MFA).

La prevenzione è chiave: non scansionare mai Codici QR o aprire allegati (anche se protetti) da mittenti sconosciuti o email inattese. Utilizza sempre una chiave di sicurezza fisica (o Passkey) al posto dei codici SMS/OTP quando possibile.

La Nuova Era del Phishing: Attacchi Multicanale e MFA Bypass

Il phishing continua a essere il cavallo di Troia prediletto dai cybercriminali, evolvendosi costantemente per sfruttare i punti deboli delle nostre abitudini digitali. Ora i truffatori non si limitano più a inviare link sospetti, ma adottano strategie che aggirano i filtri di sicurezza e puntano a superare la doppia autenticazione.

Le nuove tattiche rilevate dai ricercatori di sicurezza si concentrano sulla mimetizzazione e sullo sfruttamento di funzioni quotidiane:

1. Quishing: La Trappola del Codice QR

Il Quishing è l’attacco che usa i Codici QR per nascondere URL malevoli. Invece di cliccare su un link visibile nell’email (che potrebbe essere bloccato da un browser o un antivirus), l’utente è invitato a scansionare il codice QR, spesso incluso in un documento PDF allegato. La scansione viene effettuata tipicamente dallo smartphone, che ha meno protezioni attive rispetto a un computer, portando la vittima su siti di phishing che rubano le credenziali.

2. L’Inganno del Calendario (Calendar Phishing)

Questa tecnica, in crescita specialmente negli ambienti aziendali, sfrutta servizi come Google Calendar. L’utente riceve un invito per un evento inatteso, il cui link truffa è abilmente nascosto nella descrizione. Aprendo l’email, l’evento viene automaticamente aggiunto al calendario, e un promemoria successivo spinge la vittima a cliccare sul link, credendo si tratti di una comunicazione legittima.

3. Allegati Cifrati Anti-Scansione

Per eludere i controlli automatici dei sistemi antivirus e dei gateway email, i criminali inviano file di phishing (spesso PDF fasulli) protetti da una password. La password viene fornita nell’email stessa o in un messaggio separato. L’utente, interpretando la password come una misura di sicurezza, la usa per sbloccare il file, attivando involontariamente la truffa e scaricando il payload malevolo.

4. Il Phishing “Proxy” Che Bypassa l’MFA

Questa è la tecnica più avanzata, nota come Sneaky Phishing. Gli attaccanti utilizzano un sito di phishing che agisce come un intermediario (proxy) tra la vittima e il servizio reale (come un servizio cloud o una banca).

  1. L’utente riceve un’email di phishing (es. una richiesta di feedback).
  2. Clicca sul link e accede al sito fasullo, inserendo le credenziali.
  3. Il sito proxy invia le credenziali al servizio legittimo.
  4. Il servizio legittimo invia l’OTP (codice temporaneo) alla vittima, credendo si tratti di un accesso autentico.
  5. La vittima inserisce l’OTP nel sito proxy, che lo inoltra al criminale in tempo reale.

In questo modo, anche l’Autenticazione a più Fattori (MFA) basata su OTP via SMS o app (la MFA via SMS è risultata coinvolta nel 50% degli incidenti analizzati) viene aggirata, garantendo al criminale l’accesso completo all’account.

Sicurezza Online: Strategie di Difesa e Reazione

Di fronte a queste minacce in evoluzione, è fondamentale rafforzare la propria difesa digitale.

Consigli Pratici per Prevenire il Phishing

  • Verifica l’URL: Prima di inserire credenziali, controlla attentamente l’indirizzo nella barra del browser. Spesso i siti di phishing hanno domini con errori di battitura o caratteri simili all’originale (es. “https://www.google.com/search?q=googgle.com”).
  • Non Scansionare alla Cieca (Quishing): Sii estremamente cauto con i Codici QR ricevuti via email, SMS o trovati in luoghi pubblici inattesi. Se devi accedere a un servizio, digita l’URL direttamente nel browser.
  • Gestisci gli Inviti (Calendar Phishing): Nelle impostazioni del tuo servizio di calendario, disattiva l’opzione che aggiunge automaticamente gli inviti al tuo calendario o che mostra gli eventi proposti dagli sconosciuti.
  • Migliora la tua MFA (MFA Bypass): L’autenticazione a due fattori basata su SMS/OTP è vulnerabile. Utilizza, quando possibile:
    • App Autenticatrici: (come Google Authenticator o Microsoft Authenticator) che generano codici non intercettabili via SMS.
    • Chiavi di Sicurezza Fisiche (Passkey/FIDO2): Sono la barriera più efficace contro l’MFA bypass, poiché richiedono la presenza fisica del token per l’autenticazione.

Cosa Fare Se Sei Caduto nella Trappola

Agire immediatamente può fare la differenza tra un tentativo di frode e un furto riuscito:

  1. Cambia Immediatamente la Password: Se hai inserito le credenziali (anche l’OTP), cambia subito la password dell’account compromesso, se riesci ancora ad accedere.
  2. Disattiva l’Autenticazione Sospetta: Controlla le impostazioni di sicurezza dell’account e revoca immediatamente l’accesso ai dispositivi o alle sessioni sconosciute.
  3. Contatta l’Ente (Banca/Cloud/Servizio): Se sono coinvolte credenziali bancarie, chiama immediatamente il tuo istituto per bloccare conti e carte. Segnala l’accaduto al fornitore del servizio (es. Google, pCloud) affinché possa bloccare l’account fraudolento.
  4. Denuncia alle Autorità: Denuncia l’accaduto alla Polizia Postale e delle Comunicazioni. Il loro sito web offre un servizio di segnalazione online e punti di contatto utili per avviare un’indagine.

#checkblacklist #PhishingEvoluto #Cybersecurity #TruffeOnline

Claudio R Cerroni

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *