Non è un segreto che la rapida digitalizzazione della società abbia profondamente trasformato le relazioni personali e commerciali. Gli studi mostrano che nel 2024 le perdite finanziarie causate da truffe online hanno raggiunto i 10,1 miliardi di reais, con un aumento del 17% rispetto all'anno precedente.
Questa trasformazione, tuttavia, ha anche ampliato la superficie di attacco per i cybercriminali, che dipendono sempre più dall'ingegneria sociale per eseguire schemi di frode sofisticati.
Tra i più comuni ci sono il phishing, lo smishing e il vishing — pratiche che, sebbene diverse nei metodi utilizzati, condividono lo stesso obiettivo: ingannare le vittime per rubare informazioni sensibili, soprattutto credenziali di accesso. Sebbene tradizionalmente associate a truffe contro i consumatori, queste forme di ingegneria sociale sono anche altamente efficaci nell'ambiente aziendale. Gli truffatori mirano alle aziende per ottenere accesso ai sistemi interni, compromettere le catene di approvvigionamento ed eseguire frodi finanziarie su larga scala.
Phishing, Smishing e Vishing sono le stesse minacce?
Per iniziare la spiegazione, è importante capire che il termine ingegneria sociale si riferisce a un insieme di tecniche utilizzate dai truffatori per manipolare emotivamente e socialmente le vittime, portandole ad agire contro i propri interessi e compromettendo la loro sicurezza.
Il phishing è il tipo più conosciuto di questo tipo di truffa. Kit di phishing via email possono essere trovati nel dark web. Per quei truffatori che non sono esperti dell'argomento, ci sono persone che eseguono il servizio per loro. Generalmente comporta l'invio di email o messaggi che si spacciano per istituzioni affidabili, come banche, rivenditori o servizi online.
L'obiettivo è ingannare il destinatario affinché clicchi su link dannosi che portano a siti falsi, molto simili agli originali, con l'intento di catturare password e altre informazioni sensibili, come numeri di documenti o dati della carta di credito. Secondo i dati del Serpro, il phishing continua ad essere uno dei tipi di frode più frequenti in Brasile, e i criminali stanno migliorando le loro strategie con l'uso dell'intelligenza artificiale (IA) e dei deepfake per creare contenuti ancora più convincenti e personalizzati. Un caso recente è stato l'arresto di un uomo per aver partecipato a un gruppo criminale che utilizzava video manipolati con deepfake, con l'immagine e la voce del presentatore Marcos Mion.
Anche i truffatori effettuano frodi come il Business Email Compromise (BEC) e la truffa del falso CEO, con email che si spacciano per dirigenti per indurre i dipendenti a trasferire denaro o fornire credenziali.
D'altra parte, lo smishing (combinazione di SMS e phishing) utilizza messaggi di testo per ingannare le vittime. Con la diffusione delle applicazioni di messaggistica come WhatsApp e Telegram, questo metodo ha guadagnato forza, sfruttando la tendenza delle persone a rispondere rapidamente a messaggi che sembrano urgenti o importanti.
Anche il vishing (phishing vocale) viene effettuato tramite chiamate telefoniche, nelle quali il truffatore si finge un rappresentante di un'azienda o istituzione. Un tono persuasivo, combinato con l'uso di dati ottenuti precedentemente da fughe, rende le vittime più propense a condividere informazioni riservate al telefono. Questo tipo di truffa sta colpendo sempre più aziende brasiliane, soprattutto grandi corporazioni.
I conti vecchi sono gli attivi più preziosi per i criminali
La crescita di queste frodi è direttamente correlata al valore che rappresentano gli ecosistemi basati su account. Un account vecchio e affidabile è più prezioso per i criminali rispetto al furto diretto di denaro. Questo perché i conti con un storico di attività legittime hanno meno probabilità di essere rilevati automaticamente dai sistemi tradizionali di rilevamento delle frodi.
Gli truffatori usano il phishing e le sue varianti insieme per ottenere l'accesso a questi account, che possono avere anni di rapporti e transazioni che convalidano la loro reputazione. Una volta dentro, il criminale può studiare lo storico degli acquisti, i modelli di comportamento e, in alcuni casi, anche interagire con il servizio clienti, fingendo di essere il titolare legittimo dell'account.
Come quanto indicato nel rapporto di Nethone, alcuni truffatori arrivano a costruire relazioni con gli operatori di supporto, ingannandoli per apportare modifiche all'account che facilitano l'esecuzione della frode — processo noto come account takeover (presa di controllo dell'account). Questo tipo di attacco non solo provoca perdite finanziarie dirette, ma compromette anche la fiducia nelle piattaforme e nei servizi digitali.
L'impatto dell'intelligenza artificiale e dell'automazione sulle frodi
Storicamente, le campagne di ingegneria sociale richiedevano pianificazione, tempo e un certo grado di personalizzazione manuale. Tuttavia, l'adozione su larga scala di modelli di linguaggio generativi (LLM) ha completamente cambiato questo scenario.
Oggi, con strumenti automatizzati basati su IA generativa, i criminali riescono a creare e lanciare campagne di phishing in pochi minuti. Testi ben scritti, che prima richiedevano fluidità o tempo per essere elaborati, ora vengono generati automaticamente con un alto grado di sofisticazione. Come risultato, il volume e la frequenza di questi attacchi sono aumentati in modo allarmante.
Questo aumento riflette non solo una maggiore portata delle campagne fraudolente, ma anche l'efficacia delle nuove tecniche basate su IA e automazione.
Chi pensa che phishing, smishing e vishing siano rischi esclusivi dei consumatori individuali si sbaglia. Anche le aziende sono vittime frequenti di queste frodi, soprattutto quando le credenziali aziendali vengono esposte nel dark web. Secondo un'analisi di Nethone, i truffatori possono ottenere dati trapelati dai dipendenti, ottenendo accesso privilegiato ai sistemi interni e ai database sensibili.
Da lì, compiono movimenti sottili: studiano il comportamento di acquisto o operazione dell'azienda, creano interazioni con il supporto tecnico o commerciale e manipolano gradualmente i processi interni per effettuare transazioni fraudolente senza suscitare sospetti immediati. Questa pratica compromette non solo la sicurezza dell'organizzazione, ma anche il rapporto di fiducia con clienti e partner.
Come proteggersi da queste minacce?
La protezione contro phishing, smishing e vishing coinvolge una combinazione di tecnologia, processi e consapevolezza.
Educazione e sensibilizzazione:La prima linea di difesa è sempre la persona. Sia aziende che utenti devono essere educati a riconoscere i segnali comuni di queste frodi, come errori ortografici, urgenza eccessiva nei messaggi, richieste di informazioni sensibili e canali di comunicazione insoliti.
Autenticazione multifattoriale (MFA):anche se le credenziali sono compromesse, l'uso di più livelli di autenticazione rende più difficile l'accesso non autorizzato.
Monitoraggio delle credenziali:strumenti che monitorano l'esposizione delle credenziali nel dark web sono essenziali affinché aziende e individui siano rapidamente avvisati di eventuali violazioni.
Sistemi di Rilevamento delle Frodi Basati su IA:Come come i criminali, le aziende devono ricorrere all'intelligenza artificiale per rilevare schemi di comportamento anomali che possano indicare possibili intrusioni o tentativi di frode.
In tempi in cui la fiducia è una valuta preziosa, proteggere le credenziali e mantenere un atteggiamento vigile è essenziale per preservare l'integrità digitale di individui e aziende.
