Non è un segreto che la rapida digitalizzazione della società abbia profondamente trasformato i rapporti personali e commerciali Gli studi dimostrano che nel 2024 le perdite finanziarie causate dalle truffe online hanno raggiunto i 10,1 miliardi di R$, con un incremento di 17% rispetto all'anno precedente.
Questa trasformazione, tuttavia, ha anche ampliato la superficie di attacco per i criminali informatici, che fanno sempre più affidamento sull’ingegneria sociale per gestire sofisticati schemi di frode.
Tra le più comuni vi sono le PRATICHE di phishing, smishing e vishing 'che, sebbene diverse nei metodi utilizzati, condividono lo stesso obiettivo: ingannare le vittime per rubare informazioni sensibili, in particolare le credenziali di accesso Sebbene tradizionalmente associate a truffe contro i consumatori, queste forme di ingegneria sociale sono anche altamente efficaci nell'ambiente aziendale I truffatori prendono di mira le aziende per ottenere l'accesso ai sistemi interni, compromettere le catene di approvvigionamento ed eseguire frodi finanziarie su larga scala.
Il phishing, lo Smishing e il Vishing sono le stesse minacce?
Per cominciare, è importante capire che il termine ingegneria sociale si riferisce a un insieme di tecniche utilizzate dai truffatori per manipolare emotivamente e socialmente le vittime, portandole ad agire contro i propri interessi e compromettendo la loro sicurezza.
Il phishing è il tipo più conosciuto di questo tipo di truffa I kit di phishing via email si trovano sul dark web Per quei truffatori che non sono esperti in materia, c'è chi gestisce il servizio per loro, di solito si tratta di inviare email o messaggi che si atteggiano a istituzioni fidate come banche, rivenditori o servizi online.
L'obiettivo è ingannare il destinatario facendo clic su link dannosi che portano a siti Web falsi, molto simili a quelli originali, al fine di acquisire password e altre informazioni sensibili, come numeri di documenti o dati di carte di credito Secondo i dati Serpro, il phishing rimane uno dei tipi di frode più frequenti in Brasile, e i criminali hanno migliorato le loro strategie con l'uso dell'intelligenza artificiale (AI) e dei deepfake per creare contenuti ancora più convincenti e personalizzati Un caso recente è stato l'arresto di un uomo per partecipazione a un gruppo criminale che ha applicato video manipolati con deepfake, con immagine e voce del presentatore Marcos Mion.
I truffatori eseguono anche truffe come Business Email Compromise (BEC) e la falsa truffa del CEO, con e-mail che si fingono dirigenti per indurre i dipendenti a trasferire denaro o fornire credenziali.
D'altra parte, lo smishing (combinando SMS e phishing) utilizza i messaggi di testo per ingannare le vittime Con la divulgazione di applicazioni di messaggistica come WhatsApp e Telegram, questo metodo ha acquisito forza, sfruttando la tendenza delle persone a rispondere rapidamente a messaggi che sembrano urgenti o importanti.
Il vishing (voice phishing) viene effettuato tramite telefonate, in cui il truffatore impersona un rappresentante di un'azienda o di un'istituzione Un tono persuasivo, unito all'uso di dati precedentemente ottenuti nelle fughe di notizie, rende le vittime più propense a condividere informazioni riservate al telefono Questo tipo di truffa ha colpito sempre più le aziende brasiliane, in particolare le grandi aziende.
I vecchi conti sono le risorse più preziose per i criminali
La crescita di queste truffe è direttamente correlata al valore che rappresentano gli ecosistemi basati su account Un vecchio account affidabile ha più valore per i criminali rispetto al furto diretto di denaro. Questo perché è meno probabile che gli account con una storia di attività legittima vengano rilevati automaticamente dai tradizionali sistemi di rilevamento delle frodi.
I truffatori utilizzano insieme il phishing e le sue variazioni per ottenere l'accesso a questi account, che possono avere anni di relazione e transazioni che convalidano la loro reputazione Una volta dentro, il criminale può studiare la cronologia degli acquisti, i modelli di comportamento e in alcuni casi persino interagire con il servizio clienti fingendo di essere il legittimo titolare del conto.
Come sottolineato in un rapporto Nethone, alcuni truffatori costruiscono persino rapporti con gli agenti di supporto, inducendoli ad apportare modifiche all'account che facilitino l'esecuzione del colpo di stato (acquisizione di account) Questo tipo di attacco non solo causa perdite finanziarie dirette, ma compromette anche la fiducia nelle piattaforme e nei servizi digitali.
L'impatto dell'intelligenza artificiale e dell'automazione sulle frodi
Storicamente, le campagne di ingegneria sociale richiedevano pianificazione, tempo e un certo grado di personalizzazione manuale. Tuttavia, l’adozione su larga scala di modelli linguistici generativi (LLM) ha completamente cambiato questo panorama.
Oggi, con strumenti automatizzati basati sull'IA generativa, i criminali possono creare e lanciare campagne di phishing in pochi minuti, testi ben scritti, che una volta richiedevano fluidità o tempo per essere redatti, ora vengono generati automaticamente con un alto grado di sofisticazione, di conseguenza, il volume e la frequenza di questi attacchi sono aumentati in modo allarmante.
Questa crescita riflette non solo la maggiore portata delle campagne fraudolente, ma anche l'efficienza delle nuove tecniche basate sull'IA e dell'automazione.
Chi pensa che phishing, smishing e vishing siano rischi esclusivi per i singoli consumatori si sbaglia Anche le aziende sono vittime frequenti di queste truffe, soprattutto quando le credenziali aziendali sono esposte sul dark web, secondo un'analisi di Nethone i truffatori possono acquisire dati trapelati dei dipendenti, ottenendo un accesso privilegiato ai sistemi interni e ai database sensibili.
Da lì, fanno movimenti sottili: studiano il comportamento di acquisto o di funzionamento dell'azienda, creano interazioni con supporto tecnico o commerciale e mano a mano manipolano i processi interni per effettuare transazioni fraudolente senza destare sospetti immediati Questa pratica compromette non solo la sicurezza dell'organizzazione, ma anche il rapporto di fiducia con clienti e partner.
Come puoi proteggerti da queste minacce?
La protezione contro phishing, smishing e vishing implica una combinazione di tecnologia, processi e consapevolezza.
Educazione e sensibilizzazione: sia le aziende che gli utenti devono essere educati a riconoscere i segni comuni di queste truffe, come errori di ortografia, eccessiva urgenza nei messaggi, richieste di informazioni sensibili e canali di comunicazione insoliti.
Autenticazione multifattore (MFA): anche se le credenziali sono compromesse, l'utilizzo di più livelli di autenticazione rende difficile l'accesso non autorizzato.
Monitoraggio delle credenziali: gli strumenti che monitorano l'esposizione delle credenziali sul dark web sono essenziali affinché aziende e privati possano essere rapidamente avvisati delle perdite.
Sistemi di rilevamento delle frodi basati sull'intelligenza artificiale: proprio come i criminali, le aziende devono rivolgersi all'intelligenza artificiale per rilevare modelli di comportamento anomali che indicano possibili intrusioni o tentativi di frode.
In tempi in cui la fiducia è una valuta preziosa, proteggere le credenziali e mantenere una posizione vigile è essenziale per preservare l’integrità digitale di individui e imprese.
