Tutti noi ormai conosciamo bene come agiscono le truffe online. Uno degli attacchi più sfruttati e privilegiati dagli hacker è quello phishing. Si tratta di una email che graficamente sembra identica a quelle inviate da un istituto di credito, un’associazione, un’azienda o una società di servizi pubblici. Recentemente hanno clonato anche email che sembravano essere state inviate dalle Forze dell’Ordine. L’obbiettivo è quello di rubare l’identità della vittima per venderne dati e password al mercato nero, definito anche Dark Web, oltre a rubare tutto il denaro presente su conto corrente, carte di credito o di debito. Ora però questi raggiri si stanno evolvendo sviluppando tecniche sempre più sofisticate e quindi pericolose. Infatti il classico phishing come lo conosciamo noi si sta trasformando in una truffa svuota conto 2.0 che utilizza anche i bot vocali.
Phishing 2.0: oltre alle email i cybercriminali hanno aggiunto i bot vocali
Capito e ripassato l’attacco classico, ora dobbiamo addentrarci nella novità che sta mettendo in pericolo la sicurezza di tutti, il Phishing 2.0. Rispetto al precedente, non cambia di forma, contenuto e obiettivo, ma aggiunge uno strumento in più: i bot vocali. Quindi dopo una mail, facendo seguito all’errore di un utente non solo nel cliccare sul link, ma nell’aver compilato la pagina fraudolenta indicando i suoi dati personali, segue una chiamata dove dall’altra parte non è un finto operatore a parlare, bensì una voce registrata. Ecco un esempio frutto dei test degli esperti di Motherboard:
“Per proteggere il tuo account, inserisci il codice che abbiamo inviato al tuo dispositivo mobile ora”. PayPal a volte invia agli utenti un codice per proteggere il loro account. Dopo aver inserito una stringa di sei cifre, la voce dice: “Grazie, il tuo account è stato protetto e questa richiesta è stata bloccata”. “Non preoccuparti se un pagamento è stato addebitato sul tuo conto: lo rimborseremo entro 24-48 ore. Il tuo ID di riferimento è 1549926. Ora puoi riagganciare”“.
Gli esperti hanno poi specificato che questi attacchi phishing 2.0 solitamente prendono di mira non solo PayPal, come nell’esempio citato, ma anche Apple Pay, Amazon, Coinbase e diverse banche locali tra le più diffuse. Quindi dobbiamo aspettarci che anche con le nostre, come Unicredit o Intesa Sanpaolo, possa succedere lo stesso.
