Il periodo delle festività di fine d’anno è alle porte e, purtroppo, anche le truffe correlate. Secondo l’Internet Crime Complaint Center (IC3) dell’FBI, lo scorso anno, circa 12.000 persone sono state vittime di truffe legate alle festività di fine anno, con conseguenti perdite finanziarie superiori ai 73 milioni di dollari.
In questo articolo, prendiamo in esame alcune tematiche e tattiche di phishing comuni utilizzate per prendere di mira le persone durante le festività per aiutare te e i tuoi collaboratori a rimanere protetti dai criminali informatici mentre l’anno volge al termine.
Quattro truffe basate sull’IA che circolano durante le festività di fine d’anno
Le minacce basate sull’IA sono molto simili a quelle che vediamo ogni anno in occasione delle festività. La differenza principale è che sono più sofisticate e difficili da identificare. Tieni d’occhio queste quattro truffe comuni.
1. Truffe legate agli acquisti online
Sebbene sia allettante cogliere al volo le offerte a tempo e gli sconti esclusivi, questa smania può essere sfruttata dai criminali informatici. Possono per esempio indirizzare le vittime su siti web di phishing che offrono beni di lusso, prodotti elettronici o marchi di abiti famosi a prezzi sorprendentemente bassi. Negli ultimi anni, i ricercatori specializzati in minacce informatiche hanno constatato che i criminali informatici registrano migliaia di domini che rubano l’identità di noti marchi internazionali per poi utilizzarli per lanciare campagne di phishing su larga scala.
Con l’avvento dell’IA generativa, la creazione di negozi online fasulli è più semplice e veloce che mai. Prima, erano necessarie ore per generare strumenti che facilitassero le frodi. Grazie all’IA generativa ora sono sufficienti pochi secondi. Questi siti fraudolenti utilizzano loghi rubati, domini fotocopia e design sofisticati che imitano perfettamente negozi legittimi.
Le vittime che effettuano un pagamento su questi siti di vendita al dettaglio fasulli ricevono articoli contraffatti o addirittura non ricevono nulla. Quel che è peggio è che comunicano inconsapevolmente i loro dati personali, tra cui i numeri della carta di credito, a criminali informatici.
Modello di phishing tratto da Proofpoint ZenGuide che simula una truffa degli acquisti su Amazon e basato su un attacco reale
2. Truffe legate alle spedizioni
Così come le offerte lampo creano un senso d’urgenza, gli aggiornamenti sulle spedizioni sono un altro tipo di notifica che viene raramente ignorato. La maggior parte delle persone agisce immediatamente quando si verifica un problema relativamente a una spedizione.
I truffatori eccellono nello sfruttare la psicologia umana, soprattutto quando si tratta di far leva sulla paura. Solitamente, i criminali informatici utilizzano email o SMS per rubare l’identità di società di spedizione come UPS, FedEx, DHL o USPS. Queste truffe, solitamente riguardano mancate consegne, informazioni incomplete per la consegna, pacchetti smarriti o che si presume in attesa di un pagamento per il ritiro.
Di recente, i criminali informatici hanno perfezionato le loro tattiche per includere codici QR come strumenti di phishing. Piuttosto che incorporare URL dannosi direttamente, includono codici QR che le vittime sono invitate a scansionare. Questa tecnica emergente, denominata phishing dei codici QR o quishing, ha guadagnato in popolarità in parte grazie alla diffusa adozione dei codici QR durante la pandemia di COVID-19.
Modello di phishing tratto da Proofpoint ZenGuide che simula una truffa delle consegne DHL e basato su un attacco reale
3. Truffe legate ai viaggi
Durante le festività di fine d’anno, molte persone cercano voli convenienti e hotel a prezzi accessibili. I criminali informatici ne approfittano creando siti fasulli di prenotazione di viaggi che offrono prezzi irresistibilmente bassi.
Per esempio, i truffatori creano spesso siti web che rubano l’identità di note agenzie di viaggio online. Questi siti propongono alle vittime offerte di pacchetti apparentemente incredibili. Se cadono nella trappola, le vittime in genere finiscono per pagare più del prezzo pubblicizzato oppure ricevono prenotazioni non valide senza possibilità di rimborso.
Modello di phishing tratto da Proofpoint ZenGuide che simula la truffa dei viaggi Expedia e basato su un attacco reale
Con l’ascesa dell’IA, queste truffe sono diventate sempre più sofisticate. I criminali informatici ora utilizzano l’IA generativa per creare esche di phishing convincenti in diverse lingue. Se un tempo era facile individuare le email fraudolente grazie agli errori di grammatica e di ortografia, oggi non è più così. I criminali informatici ora possono superare facilmente le barriere linguistiche e culturali.
Pensiamo a uno scenario in un cui un criminale informatico, che non parla tedesco, desidera lanciare una truffa legata ai viaggi che prende di mira persone di lingua tedesca. Gli strumenti di IA permettono di generare email grammaticamente corrette e dall’aspetto credibile che rubano l’identità di una qualsiasi delle principali linee aeree tedesche. Questi messaggi includono elementi chiave (loghi, immagini di elevata qualità, testo grammaticamente corretto, ecc.) che li fanno apparire legittimi.
Modello di phishing tratto da Proofpoint ZenGuide che simulano una truffa legata ai viaggi e generato dall’IA
4. Truffe legate agli enti di beneficenza
Le frodi legate agli enti di beneficenza sono forse una delle tattiche più preoccupanti dal punto di vista etico. I truffatori sanno che le persone sono solitamente più generose durante le festività di fine d’anno e sfruttano la loro generosità per trarne beneficio. Non solo rubano denaro, ma sottraggono anche informazioni personali per rubare le identità.
Per farlo, creano, per esempio, aziende fasulle per sfruttare la generosità del pubblico. Diversi enti governativi americani, tra cui l’agenzia di riscossione dei tributi (IRS, Internal Revenue Service) e l’FTC (Federal Trade Commission) hanno lanciato avvisi relativi alle aziende che si rifiutano di fornire informazioni dettagliate su loro stesse. Inoltre, è sempre meglio diffidare di un’azienda che ti esorta a fare una donazione immediata. Ricorda che gli enti di beneficenza legittimi accettano le donazioni in qualsiasi periodo dell’anno e sono trasparenti in merito alle loro operazioni.
Uno scenario comune sono le campagne fraudolente di donazione di giocattoli. In primo luogo, alle vittime viene richiesto di fornire informazioni personali. Quindi, vengono spinte a condividere i dettagli della loro carta di credito o effettuare bonifici su account fraudolenti.
Modello di phishing tratto da Proofpoint ZenGuide legato alle truffe degli enti di beneficenza e basato su un attacco reale
Suggerimenti per mantenersi protetti durante le festività di fine d’anno
L’IA generativa semplifica il lavoro dei criminali informatici e migliora il livello di sofisticatezza e la scalabilità delle loro truffe di phishing. Tuttavia, le minacce basate sull’IA non introducono alcuna nuova funzionalità rispetto al panorama delle minacce attuale. Perciò, le linee guida generali di sicurezza rimangono le stesse.
Ecco alcuni consigli per evitare le truffe durante questo periodo festivo. Condividili con i tuoi collaboratori e colleghi per aiutarli a identificare e evitare le truffe legate alle festività basate sull’IA.
- Fai attenzione alle offerte o agli sconti che sembrano troppo belli per essere vere.
- Accedi direttamente ai siti web ufficiali dei rivenditori al dettaglio; non fare clic sui link incorporati nelle email.
- Fai attenzione a qualsiasi messaggio che richiede un’azione immediata.
- Verifica l’identità del mittente attraverso canali alternativi.
- Passa sempre il cursore del mouse sugli indirizzi email per vedere le informazioni complete del mittente e individuare un eventuale attacco di spoofing del nome visualizzato.
- Concentrati sull’intento del messaggio piuttosto che sulla grammatica o l’ortografia; questi segnali di pericolo ora sono molto meno affidabili.
- Attiva l’autenticazione a due fattori quando possibile.
Il tuo regalo per le festività di fine d’anno
Abbiamo piacere di offrirti il kit Festività di fine d’anno per rafforzare la tua sicurezza durante questa fine d’anno. Questo kit propone una campagna di quattro settimane volta a supportare le tue attività di sensibilizzazione alla sicurezza informatica:
- Settimana 1: Consigli per acquistare online in tutta sicurezza
- Settimana 2: Identificare i messaggi di phishing che sfruttano il tema dei viaggi
- Settimana 3: Identificare le truffe legate alla beneficenza
- Settimana 4: Chiusura con un gioco a tema