Aumentano di dismisura segnalazioni e report sullo Spear phishing, una nuova truffa che sta colpendo in Italia e non.
Almeno da un paio d’anni abbiamo, ahinoi, preso familiarità con l’accezione negativa della desinenza anglossassone “ware”. Che in teoria stanno a significare un insieme di oggetti con una funzione specifica, ma che nell’era tech sono forieri di sventura: dal malware al ramsonware, passando per l’adware o lo spyware, tanti tipi diversi di codici malevoli, stesse finalità, dare fastidio (economico ma anche una perdita di tempo) a gli utenti. Ma c’è anche un altro suffisso che incute preoccupazioni: ing (no, non la banca).
In teoria è un gerundio, sempre di stampo anglosassone, che si può serenamente tradurre come una bella rottura di scatole: il dissing è dilagante sui social, il phishing un tipo di truffa attraverso la quale un cyber criminale inganna il malcapitato utente, convincendola a fornire informazioni dati sensibili personali, lo smishing è un sinonimo che si applica ai messaggi.
C’è un altro fenomeno dilagante che incute terrore sempre nei malcapitati utenti che usano internet per lavoro, svago, intrattenimento, ma più in generale qualsiasi operazione lecita che svolgiamo cliccando sull’online: è lo Spear phishing, un nuovo pericoloso fenomeno di truffa. Dilagante stando agli ultimi dati, in Italia e non.
Dati personali resi pubblici
È un tipo di attacco informatico via e-mail che utilizza tecniche di “ingegneria sociale” per indurre un individuo specifico a divulgare informazioni sensibili, scaricare ransomware o malware e altro ancora. In pratica vengono resi pubblici i dati personali di un utente, con tutto ciò che ne consegue. Una tecnica di phishing ancora più ampia e specifica.
Lo spear phishing inizia come un messaggio, ad esempio un’e-mail, che sembra provenire da una fonte attendibile, autentica. Una banca, per esempio, con tanto di elementi visivi sempre più vicini all’originale, chiedendo di verificare una transazione o controllare una notifica importante. Chiaramente l’obiettivo è quello di far cliccare (o tappare) l’utente a quel maledetto link che porta a un sito web fasullo, dove si inseriscono le credenziali di accesso, aprendo in realtà il conto corrente del malcapitato utente.
Alcuni attacchi utilizzano la rappresentazione, che appare come e-mail da qualcuno nella rubrica del bersaglio, ad esempio un amico, un familiare o un collega. Un’e-mail di un “amico” potrebbe chiedere al destinatario di guardare un link divertente o scaricare un file utile. Secondo gli ultimi dati, nel 2022 il 50% delle aziende è caduto nella trappola dello spear phishing e, il 24% di questi, ha subito la compromissione di almeno un account di posta elettronica mediante account takeover. La media è alzata a circa 370 mail malevole, in pratica una al giorno. Mai cliccare su quel link, per nessun motivo al mondo.
