Il furto di identità anche nel 2024 si è confermato una delle minacce informatiche più gravi e diffuse nell’ambito dei reati economico-finanziari online. Secondo dati rilasciati dal Settore analisi e pianificazione strategica del Servizio di Polizia Postale e per la sicurezza cibernetica, in Italia il 55% degli incidenti con furto d’identità digitale è avvenuto sfruttando il cosiddetto smishing, che con 1.342 casi totali si è confermato anche nel 2024 il metodo più comune di furto di identità. La seconda metodologia è stata il vishing, o voice phishing (phishing telefonico), con un’incidenza del 27% e 671 casi complessivi. Al terzo posto figura il più tradizionale e collaudato email phishing, con il 14% degli incidenti e 330 casi totali.
La tecnica dello smishing sfrutta l’invio di messaggi SMS fraudolenti al fine di indurre le vittime a fornire le loro credenziali personali per l’accesso a servizi finanziari. La prevalenza di questa tipologia di attacchi è legata alla forte dipendenza delle persone dallo smartphone, e dalla fiducia che queste ripongono negli SMS. Per lo stesso motivo, alquanto drammatico in questo momento è il fenomeno dello smishing via whatsapp. Un’altra tecnica che desta particolare preoccupazione, spesso associata allo smishing, è quindi l’alias telefonico, per cui comunicazioni bancarie fraudolente si inseriscono nella normale sequenza di messaggi autentici che provengono dal proprio istituto bancario, rendendo ancora più arduo individuare i tentativi di frode.
Secondo metodo più utilizzato dai threat actor, il vishing, o phishing telefonico, consta di chiamate telefoniche fraudolente con le quali i truffatori si spacciano per rappresentanti di istituti finanziari o di altre autorità, al fine di ottenere dati e informazioni sensibili. Tipicamente basate su vishing sono le frodi bancarie deputate a farsi fornire dagli utenti le loro credenziali di accesso, anche se la protezione mediante MFA (Autenticazione multi fattore) delle credenziali utilizzate per accedere ai servizi bancari tende a rendere questo tipo di attacco meno preponderante. Sono però molte le frodi che si basano su transazioni con carta di credito, per cui gli attaccanti puntano a ottenere informazioni relative alle carte di credito o ad esempio a farsi dare il codice CIN spacciandosi per Nexi o altre PayTech.
A rafforzare e far crescere il ricorso a metodi di vishing per il furto di identità digitale è però l’allarmante connubio del voice phishing con le tecniche di AI, che vengono sempre più impiegate dagli attaccanti come supporto agli attacchi informatici. Clamorosi esempi di truffe andate a segno, anche a danno di personaggi pubblici molto noti, hanno recentemente utilizzato la clonazione della voce grazie alla AI per creare vishing con impersonificazione vocale. Si tratta di un trend molto interessante e al contempo molto pericoloso, in quanto unisce le potenzialità dall’AI alla vulnerabilità dell’errore umano.
Per ridurre l’incidenza degli attacchi di vishing è quindi necessario educare le persone a verificare sempre l’identità del chiamante, e comunque a non fornire mai informazioni personali per telefono.
L’email phishing, forse il metodo più classico, figura al terzo posto (330 casi, pari al 14% del totale) tra le tipologie di attacco più utilizzate, e continua pertanto a essere un metodo di furto di identità molto usato. In questo caso, gli attaccanti inviano email fraudolente agli utenti, che sembrano provenire da fonti affidabili per indurli a cliccare su link dannosi o a fornire informazioni personali. Per combattere il phishing via email è necessario implementare filtri anti-phishing più efficaci, oltre a lavorare alla formazione continua degli utenti sugli attacchi sferrati tramite email.
Una quarta tipologia che emerge con una percentuale significativa è infine rappresentata dal metodo del Sito clone (83 casi con un’incidenza del 3%). In questo caso gli attaccanti creano siti web falsi che imitano quelli legittimi, onde ingannare gli utenti e raccogliere le loro credenziali di accesso. Importante a questo riguardo promuovere l’uso di certificati SSL/TLS, oltre naturalmente a educare le persone su come riconoscere i siti web falsi da quelli autentici.
Commenti recenti