Le festività di fine anno purtroppo sono un periodo propizio alle truffe informatiche, in cui i criminali informatici approfittano della generosità e dello spirito di condivisione che caratterizzano questo periodo. Ecco perché è fondamentale rimanere vigili.
Anche se è ancora troppo presto per identificare e analizzare le tendenze stagionali, prevediamo l’emergere di una serie di nuove tecniche creative tra i criminali informatici, oltre alle tattiche già collaudate negli anni precedenti.
Dall’IA generativa che favorisce gli attacchi tramite telefonate (TOAD, Telephone-Oriented Attack Delivery) all’elusione dell’autenticazione a più fattori (MFA) che sfrutta le notifiche di spedizione, ecco cinque previsioni sulle tendenze da tenere d’occhio questa fine d’anno e che sicuramente evolveranno insieme al panorama delle minacce nel corso di quest’inverno.
1. L’IA generativa complicherà il rilevamento delle minacce
Tutti ne parlano dallo scorso inverno... Stiamo parlando dell’intelligenza artificiale generativa. Questa tecnologia emergente potrebbe cambiare il processo di creazione di email che includono le famigerate offerte “troppo belle per essere vere”. Le email di consegna fraudolente rimangono le preferite di sempre dai criminali informatici e il loro utilizzo si intensifica sempre durante i periodi festivi. Nessuno vuole avere problemi con la merce che ha ordinato o con i pacchi che ha spedito.
L'anno scorso, molti di questi tentativi di phishing presentavano i classici campanelli d'allarme di questo genere di minaccia, come errori grammaticali e nella struttura linguistica, che li rendevano facili da individuare anche a una prima occhiata. Quest’anno, tuttavia, prevediamo che molti criminali informatici utilizzeranno l'intelligenza artificiale generativa per scrivere le loro email e i loro SMS, rendendo più difficile il rilevamento.
Perciò, quando cerchi di capire se una notifica di spedizione ricevuta durante le festività è una legittima o un tentativo di frode, vai più a fondo. Esamina questi messaggi con attenzione e poniti le seguenti domande:
- Si tratta di un messaggio generico o personalizzato?
- Ti vengono richieste informazioni sensibili non necessarie?
- Il nome visualizzato del mittente corrisponde all’indirizzo email? (Questo è un elemento della lista di controllo di sicurezza che si impara nei corsi di sensibilizzazione alla sicurezza informatica.)
- Ti viene richiesto di pagare una tassa per ricevere un pacco? (Nota: in questo caso è meglio rifiutare la consegna fino a quando riesci ad avere la conferma che la spedizione è legittima).
2. Gli attacchi tramite telefono si miglioreranno grazie all’IA
Gli attacchi di phishing tramite telefonate (TOAD, Telephone-Oriented Attack Delivery) sono diventati parte dell’arsenale standard dei criminali informatici e inducono gli utenti a svolgere azioni pericolose al telefono. Scrivere utilizzando l’IA generativa può migliorare la credibilità degli attacchi TOAD che sfruttano le festività.
Vuoi bloccare l'acquisto di un regalo costoso sulla tua carta di credito o accettare un'offerta di viaggio estremamente scontata? Allora contatta questi (falsi) call center! Se un'email generata dall'intelligenza artificiale imita con successo un'azienda legittima, le probabilità che la vittima abbocchi all’esca e componga il numero di telefono menzionato sono più elevate.
L’IA generativa permetterà senza dubbio di estendere le truffe festive legate ai viaggi a livello globale. Per esempio, ogni Natale e Capodanno, osserviamo email in inglese di questo tipo che si rivolgono a un pubblico occidentale. Ma anche il Capodanno lunare in Cina, Corea del Sud, Vietnam e Hong Kong è l’occasione di numerose feste e viaggi. Se prima i criminali informatici non avevano conoscenze culturali o linguistiche per colpire queste popolazioni, ora potrebbero utilizzare strumenti di IA liberamente disponibili per identificare rapidamente esperienze significative e creare esche allettanti e localizzate.
Fortunatamente, è improbabile che l'IA generativa possa migliorare l'interazione con i call center fraudolenti. Se li si contatta, i segnali d’allarme dovrebbero essere ancora individuabili. per esempio, diffida se l’“operatore”:
- segue chiaramente uno script;
- insiste affinché tu compia un’azione specifica;
- parla con un accento di una regione in cui hanno spesso sede questi call center fraudolenti , come hai imparato nei corsi di formazione di sensibilizzazione alla sicurezza informatica.
3. L’elusione dell’autenticazione a più fattori potrebbe diventare più frequente
L’anno scorso, l’elusione dell’autenticazione a più fattori (MFA) ha avuto un'impennata di popolarità e continuiamo a osservare un aumento del numero di esche che utilizzano questa tecnica. I criminali informatici rubano le credenziali in tempo reale intercettando il codice MFA quando la vittima lo digita in una pagina di login falsa o compromessa.
Poiché è una delle tendenze in aumento, prevediamo di vedere queste tecniche applicate quest'anno alle esche a tema festivo. Le aziende inviano molti messaggi di conferma d'ordine e di notifica delle spedizioni durante le festività. In quanto destinatario, hai un forte desiderio di accedere più spesso al tuo account UPS, FedEx o DHL quando aspetti un pacco e speri di riceverlo per tempo.
È probabile che i criminali informatici approfittino di questo aumento del traffico e della preoccupazione dei consumatori. Creano email di phishing a tema festivo che si confondono con le email reali e modellano i loro messaggi sulla base di notifiche legittime. In questo modo è più facile indirizzare i consumatori a pagine di accesso compromesse o a siti web fasulli che intercettano e catturano le credenziali MFA.
Per evitare l’elusione dell’MFA, è meglio non reagire ai messaggi di vendita e spedizione inaspettati. Evita di fare clic sui link contenuti in email o SMS non richiesti o insoliti. Se desideri confermare un acquisto o una consegna, rivolgiti direttamente a una fonte legittima digitando l’indirizzo del sito web o telefonando a un numero di contatto noto.
4. Le truffe delle carte regalo saranno sempre popolari tra i criminali informatici
Le carte regalo sono pratiche e apprezzate, anche per i criminali informatici. Ciò significa che le carte regalo sono una minaccia perenne che diventa più intensa durante le festività. Questo tipo di violazione dell’email aziendale (BEC, Business Email Compromise) prende la forma di una campagna di social engineering in cui i criminali informatici si fingono un dirigente aziendale che ha bisogno di aiuto per organizzare un bonus di fine d’anno per il personale.
Questo tipo di truffa spesso inizia con un breve SMS o email volto a valutare il tuo livello di ricettività. I messaggi successi ti chiedono di acquistare carte regalo di valore elevato utilizzando i fondi aziendali o di anticipare il pagamento con la promessa di un rimborso. L’obiettivo? Indurti a acquistare carte regalo e inviare loro i numeri e i codici PIN corrispondenti.
Questi messaggi sembrano spesso credibili perché sfruttano la fiducia che si instaura nei rapporti personali e professionali. Inoltre, fanno leva sui sentimenti della vittima, che sarà orgogliosa di vedersi affidare un compito importante da un dirigente o di contribuire a un’iniziativa positiva che farà piacere ai sui colleghi.
Nei periodi festivi, è importante mantenere un elevato livello di attenzione ai segnali di allarme, come l’appello alle emozioni. Assicurati di verificare questo tipo di richiesta con il dirigente che ti ha, apparentemente, fatto la richiesta, contattandolo tramite un altro canale per verificarne la legittimità.
5. Nelle truffe degli enti di beneficenza, la persona che richiede la donazione è sempre il beneficiario
Gli attacchi informatici sfruttano spesso il fattore emotivo e le truffe delle donazioni durante le festività ne sono un perfetto esempio. I criminali informatici creano false organizzazioni no-profit o creano siti web che imitano noti enti di beneficenza. Ogni anno utilizzano email di phishing legate agli enti benefici perché sono efficaci.
In occasione di queste festività, prevediamo di vedere i criminali informatici utilizzare le solite richieste di donazioni, del tipo “offri un pasto”, o per aiutare i più bisognosi durante l’inverno. Probabilmente utilizzeranno anche temi di attualità come esca per approfittare della situazione internazionale. Non stupirti quindi di veder fiorire truffe che sfruttano crisi umanitarie, disastri naturali o conflitti armati.
A tal proposito, la tua cautela dovrebbe andare oltre le email e gli SMS, perché i criminali informatici sfruttano ogni canale a loro disposizione. Puoi osservare tattiche simili nelle telefonate, sui social media, in documenti stampati o pubblicità ingannevoli.
Il modo migliore per evitare gli impostori è quello di lavorare direttamente con enti di beneficenza legittimi e programmi di assistenza ben consolidati. Per esempio, contatta un ente di beneficenza digitando il suo indirizzo direttamente nel tuo browser, piuttosto che fare clic su un link di richiesta di donazione in un messaggio non richiesto.
Rafforza la tua protezione grazie al nostro kit gratuito
Con l’avvicinarsi delle festività di fine d’anno, possiamo stabilire se queste tendenze e tecniche emergeranno effettivamente, in quale misura i criminali informatici le utilizzano e il loro impatto.
Nel frattempo, come assicurarti che i messaggi e i canali con cui i tuoi utenti interagiscono siano sicuri e legittimi? E come aiutarli a evitare le insidie?
Il modo migliore di mantenere protetti i tuoi collaboratori è proporre loro una formazione di sensibilizzazione alla sicurezza informatica. Il kit gratuito “Festività di fine d’anno 2023” di Proofpoint può aiutarti. Proponiamo una campagna gratuita di quattro settimane a supporto delle tue attività di sensibilizzazione, da lanciare in occasione delle festività di dicembre e di inizio d’anno. Ecco il contenuto del kit:
- Settimana 1: Consigli per acquistare online in tutta sicurezza
- Settimana 2: Identificare i messaggi di phishing che sfruttano il tema dei viaggi
- Settimana 3: Identificare le truffe degli enti di beneficenza
- Settimana 4: Chiusura con un gioco a tema
Scarica il nostro kit “Festività di fine d’anno 2023” qui.