BusinessCommunity.it
Home page BusinessCommunity.it Cerca Sommario di questo numero Arretrati News Abbonamenti
BusinessCommunity.it

13/12/2023

digital

A fine anno, con le feste arrivano le minacce: cosa serve sapere per proteggersi

Maiocchi (Proofpoint): gli attaccanti cercheranno di approfittare dello spirito più generoso e rilassato che contraddistingue il periodo

È la stagione delle truffe informatiche. Con l'avvicinarsi delle feste, gli attaccanti cercheranno di approfittare dello spirito più generoso e rilassato che contraddistingue il periodo. Ecco perché è fondamentale stare particolarmente all'erta. Anche se è ancora presto per individuare e analizzare le tendenze stagionali, ci aspettiamo l'emergere di nuove tecniche nella creatività e nelle esche dei cybercriminali, oltre a quelle già sperimentate nelle precedenti stagioni natalizie. 
Dall'intelligenza artificiale generativa che aiuta il lancio di attacchi condotti via telefono (TOAD) all'aggiramento dell'autenticazione multi-fattore (MFA) che si basa sugli avvisi di spedizione, ecco cinque trend che possiamo delineare sul tema delle truffe stagionali. Si tratta di trucchi e tendenze che potremmo vedere evolversi nel panorama delle minacce invernali di quest'anno.

1: La AI generativa rende più difficile individuare le minacce  

Cosa è esploso dalla scorsa stagione natalizia? Un piccolo elemento chiamato AI generativa. Questa tecnologia emergente potrebbe cambiare il gioco della creazione di email che includono offerte troppo belle per essere vere.

Le email di spedizioni fasulle sono sempre le preferite dagli attaccanti e diventano più frequenti durante le feste, perché nessuno vuole avere problemi con la merce che ha ordinato o i pacchi che ha spedito.
Fino all'anno scorso, molti tentativi di phishing che sfruttavano il tema delle spedizioni sono stati caratterizzati da segnali di allarme standard, come errori grammaticali e struttura linguistica non corretta. Si tratta di elementi facilmente individuabili con una rapida occhiata. Ma quest'anno ci aspettiamo che molti malintenzionati utilizzino l'intelligenza artificiale generativa per scrivere email e testi, riducendo potenzialmente la facilità di rilevamento. Quindi, quando si desidera capire se un'email di spedizione è una truffa, è necessario andare più a fondo, ponendosi alcune domande fondamentali:

- Il messaggio è generico o personalizzato? 

- Vengono chieste informazioni sensibili non necessarie? 

- Il nome visualizzato del mittente corrisponde all'indirizzo email? 

- Viene chiesto il pagamento di una tassa per ricevere un pacchetto? 



2: Le truffe TOAD riceveranno nuova spinta dalla AI  

Gli attacchi TOAD sono diventati parte integrante del kit di minacce, in quanto gli attaccanti spingono le vittime a compiere azioni non sicure al telefono.

La scrittura con l'intelligenza artificiale generativa potrebbe aumentare la credibilità di questi attacchi che utilizzano un playbook per le vacanze.  

"Devi bloccare l'acquisto di un regalo costoso sulla carta di credito o accettare un'offerta di viaggio fortemente scontata? Allora contatta questo (falso) call center!" Se un'email generata dall'intelligenza artificiale imita con successo un'azienda legittima, è più probabile che la vittima componga il numero di telefono a cui viene indirizzata. L'intelligenza artificiale generativa potrebbe anche offrire l'opportunità di ampliare le truffe natalizie a livello globale. Ad esempio, ogni Natale e Capodanno si osservano truffe in lingua inglese che sfruttano il tema delle vacanze e si rivolgono a un pubblico occidentale. Ma c'è anche un'enorme quantità di viaggi e festeggiamenti per il Capodanno lunare in Cina, Corea del Sud, Vietnam e Hong Kong. Se in passato gli attaccanti non avevano conoscenze culturali o competenze linguistiche per colpire queste popolazioni, ora potrebbero utilizzare strumenti di AI liberamente disponibili per ricercare rapidamente quali esperienze potrebbero essere significative e creare esche per vacanze localizzate e allettanti.


Fortunatamente, è improbabile che l'intelligenza artificiale generativa possa migliorare l'interazione diretta del call center. Chiamando il numero indicato, dovrebbe essere individuabile il tentativo di frode, facendo attenzione a una serie di elementi dell'operatore che:

- segue chiaramente uno script. 

- fa pressioni per compiere un'azione. 

- ha un accento palesemente straniero.

3: Aumenteranno i tentativi di bypassare la MFA 

Gli strumenti per bypassare la MFA hanno avuto un'impennata lo scorso anno e si osserva un costante aumento del numero di esche utilizzate da questa tecnica. L'attaccante ruba le credenziali dell'account in tempo reale, intercettando il codice MFA quando la vittima lo digita in una pagina di login dell'account che è falsa o compromessa. Poiché l'aggiramento dell'MFA è un trend attuale, ci aspettiamo di vedere le stesse tecniche applicate alle esche a tema natalizio. Le aziende inviano molti messaggi di conferma dell'ordine e di notifica della spedizione durante le feste e generalmente il destinatario è spinto ad accedere più spesso e rapidamente al suo account UPS, FedEx o DHL mentre aspetta ? ed è preoccupato - che i pacchi delle vacanze arrivino in tempo.

È probabile che i malintenzionati approfittino di questo aumento del traffico e della preoccupazione dei consumatori. Progettano email di phishing a tema natalizio che si confondono con quelle reali, modellando i loro messaggi sulla base di notifiche legittime. In questo modo è più facile guidare i consumatori verso pagine di accesso compromesse o siti web simili che intercettano e catturano le credenziali MFA.  Per evitare il furto delle credenziali MFA, è opportuno evitare di interagire con messaggi inaspettati di acquisti e spedizioni. Non cliccare sui link contenuti in email o messaggi di testo non richiesti o insoliti. Se si desidera confermare un acquisto o una consegna, visitare direttamente la fonte legittima, digitando l'indirizzo del sito o chiamando un numero di riferimento noto.

4: Le truffe basate sulle carte regalo confermeranno la loro popolarità

Le carte regalo sono popolari e convenienti, anche per i criminali informatici. Questo fa sì che le truffe per le vacanze che le sfruttano siano una minaccia perenne che si intensifica nel periodo. Questo tipo di attacco BEC (Business Email Compromise) è una campagna di social engineering in cui i cybercriminali fingono di essere un dirigente di alto livello che vuole essere aiutato a organizzare un bonus natalizio per i dipendenti.

Questa truffa per le festività inizia spesso sul posto di lavoro con un breve messaggio di testo o un'email che verifichi quanto il destinatario sia ricettivo all'idea. I messaggi successivi chiederanno di acquistare carte regalo di alto valore utilizzando i fondi dell'azienda o di pagare in anticipo con la promessa di un rimborso. L'obiettivo? Ingannare l'utente per farsi inviare i numeri delle gift card e i PIN per sbloccarle. Queste truffe sono spesso credibili perché fanno leva sulla fiducia dei rapporti personali e professionali. Inoltre, approfittano delle emozioni della vittima, che si sente orgogliosa di essere contattata da un responsabile aziendale o di far parte di qualcosa di positivo che può rendere felici gli altri.  Nella stagione natalizia, è importante stare attenti ai segnali di allarme come gli appelli emotivi e assicurarsi di contattare il dirigente che si suppone abbia fatto la richiesta attraverso un altro canale per verificarla e convalidarla.

5: Anche le iniziative di beneficenza rappresentano un rischio

I cyberattacchi sono spesso progettati per sfruttare le emozioni delle persone e le truffe per le donazioni di beneficenza sono un esempio lampante.

Gli attaccanti creano false società no-profit o siti web che imitano note organizzazioni di beneficenza e continuano a utilizzare email di phishing anno dopo anno perché continuano ad avere successo. In questa stagione, ci aspettiamo di osservare l'utilizzo di richieste di donazioni personali e consuete, come i  "pasti sospesi" o  aiutare le persone che hanno bisogno di un riparo durante l'inverno. È inoltre probabile che i malintenzionati diano un'impronta globale alle loro campagne, utilizzando come esca argomenti di attualità, motivo per cui non ci si sorprenderebbe nel vedere truffe di beneficenza che sfruttano situazioni umanitarie, disastri naturali e zone di conflitto reali.  La cautela nei confronti delle truffe di beneficenza durante le festività dovrebbe andare oltre email e sms, poiché gli attaccanti utilizzeranno tutti i canali a loro disposizione. Sarà possibile vedere tattiche simili utilizzate nelle telefonate, social media, e pubblicità ingannevoli. Il modo migliore per evitare truffe è operare direttamente con enti di beneficenza legittimi e programmi di aiuto consolidati, ad esempio, contattando un'organizzazione digitando un indirizzo web affidabile nel browser invece di cliccare sui link alle donazioni presenti in un messaggio non richiesto.



Luca Maiocchi, Country Manager Italia, Proofpoint

 

ARGOMENTI: marketing - retail - ecommerce - intelligenza artificiale - AI - IA - digital transformation - pmi - high yield - bitcoin - bond - startup - pagamenti - formazione - internazionalizzazione - hr - m&a - smartworking - security - immobiliare - obbligazioni - commodity - petrolio - brexit - manifatturiero - sport business - sponsor - lavoro - dipendenti - benefit - innovazione - b-corp - supply chain - export - - punto e a capo -

> Vai al sommario < - > Guarda tutti gli arretrati < - > Leggi le ultime news <

Copyright © 2009-2024 BusinessCommunity.it.
Reg. Trib. Milano n. 431 del 19/7/97
Tutti i Diritti Riservati. P.I 10498360154
Politica della Privacy e cookie

BusinessCommunity.it - Supplemento a G.C. e t. - Reg. Trib. Milano n. 431 del 19/7/97
Dir. Responsabile Gigi Beltrame - Dir. Editoriale Claudio Gandolfo


Copertina BusinessCommunity.it