Highlights 2022, un anno di phishing

Si fa presto a dire abboccare all’amo. Il phishing, lo abbiamo visto in questi mesi in seguito all’attenzione riservata da Giornalettismo a questa tematica, è a buon diritto uno dei fenomeni di questo 2022. Non soltanto per quel vecchio adagio – ormai – in base al quale l’aumento di servizi digitali, l’aumento di persone che usufruiscono dei servizi digitali e l’aumento delle interazioni di queste stesse persone sul web comportano inevitabilmente una maggiore esposizione a delle truffe che hanno proprio nei social network, nelle app di messaggistica, nelle caselle mail i loro principali veicoli. Il 2022 del phishing, in Italia, è stato caratterizzato da due fenomeni: le truffe mirate ai singoli utenti, quelle cioè che – sfruttando una specifica abitudine – riescono a cavalcarla e a confezionare un messaggio ad personam; le truffe di tendenza, ovvero quelle che diventano in qualche modo “virali” perché le banche dati utilizzate per diffonderle contengono un grande quantitativo di dati personali. Sempre in questa categoria possono inserirsi quelle truffe di phishing che sfruttano il meccanismo dei social network e delle catene di Sant’Antonio: anche partendo da un piccolo bacino d’utenza, potenzialmente, possono essere diffuse – attraverso la catena stessa – a decine se non a centinaia di contatti, non direttamente in connessione con gli autori iniziali della truffa.

LEGGI ANCHE > Highlights 2022, com’è andato quest’anno dal punto di vista della sicurezza digitale

Phishing 2022, le principali truffe che hanno caratterizzato l’anno

C’è stato un grande filone, per il phishing 2022, che può essere descritto come quello delle mail inviate, soprattutto a caselle di posta Gmail, per segnalare una presunta denuncia per pedopornografia. Si parla di filone per questa truffa perché, di volta in volta, i truffatori hanno utilizzato nominativi diversi come firma in calce alla presunta denuncia. La cosa caratteristica è che si tratta sempre di nominativi di persone realmente esistite e tutte con un ruolo all’interno di autorità di diverso ordine e grado. Si è passati, infatti, dal documento firmato Teo Luzi, generale di corpo d’armata, a quello firmato da Mireille Ballestrazzi, che ha fatto parte dell’Interpol, passando per quella firmata da Catherine de Bolle dell’Europol. Con questa mail, si avvisavano gli utenti delle presunte accuse a loro carico e si chiedeva loro di inviare una mail a un indirizzo – di volta in volta diverso – attraverso cui presentare le proprie giustificazioni rispetto all’accusa. Facile intuire che, attraverso l’invio di una mail all’indirizzo specificato, i truffatori possono avere accesso a dati personali dell’utente.

Altro grande classico di questo 2022 è stato sicuramente il fatto di sfruttare una delle tendenze degli ultimi tempi, l’e-commerce, per attirare l’attenzione degli utenti. Sempre attraverso delle mail – o anche attraverso degli SMS -, si veniva informati di presunti pacchi in giacenza. Ad esempio, la truffa del corriere Bartolini (con l’azienda che è totalmente parte lesa in questa vicenda, essendo stata citata a sua insaputa) è stata quella più diffusa nell’ultima parte del 2022. Una mail – con tanto di foto di un corriere e con il brand bene in vista – avvisava gli utenti di un pacco in giacenza da ritirare: il corpo del testo conteneva un link a cui accedere. Il click sul link spalanca – parliamo al presente visto che la truffa continua a essere diffusa – le porte ai truffatori a dati personali dei cittadini.

Che le tecniche di phishing siano sempre diverse e sempre più raffinate lo dimostra anche questo tentativo di truffa che sfrutta – in tutto e per tutto – il nome di Poste Italiane. Non solo si comunica un presunto accesso anomalo al conto corrente postale attraverso sms, ma lo si fa anche sfruttando il numero di telefono con cui – solitamente – arrivano le comunicazioni di conferma (come ad esempio l’autenticazione a due fattori) ufficiali di Poste Info. Lo smishing (ovvero il phishing via sms) è stato utilizzato anche per un’altra tipologia di truffa che coinvolge, invece, l’istituzione Regione Lazio: sono stati diversi i messaggi inviati agli utenti a proposito di presunti bonus spesa o bonus benzina o altre tipologie di agevolazioni per aver accesso ai quali i cittadini avrebbero dovuto cliccare su un link. Anche in questo caso, si trattava di un escamotage per venire in possesso di dati personali degli utenti stessi. La truffa era stata talmente tanto diffusa da provocare una reazione ufficiale della Regione Lazio, che ha avvisato i residenti della possibile iniziativa illegale, a cui l’ente è – ovviamente – totalmente estraneo.