Spam e phishing vanno spesso di pari passo e i truffatori inviano e-mail in massa con lo scopo di ottenere informazioni da parte di qualche destinatario. Per i cybercriminali i dati personali degli utenti hanno infatti un grande valore e per questo sono molto ambiti, come è confermato dalle notizie che leggiamo costantemente sui media e dall’importante flusso di spam registrato ovunque.

L’obiettivo più comune dello spam è quello di riuscire ad entrare negli account o di ottenere il numero delle carte di credito, grazie al phishing via e-mail e alle tecniche di ingegneria sociale. Di fronte a questo scenario ben poco edificanti Kasperksy Lab ha analizzato i 5 trucchi più diffusi tra gli spammer per raggiungere i loro scopi.

1 – Falsi messaggi dai social network

Gli spammer inviano falsi messaggi creati per somigliare in tutto e per tutto a quelli inviati dai social network più in voga e che riguardano attività dell’account, nuovi amici aggiunti, like, commenti e così via. A volte è davvero difficile distinguere i falsi dagli originali e l’unica differenza è che contengono un link di phishing, che non sempre è facilmente individuabile. Quando cliccano sul link, gli utenti sono invitati a digitare username e password in una falsa pagina di login.

Un’altra variante della stessa truffa coinvolge messaggi provenienti in teoria dai social network e che riguardano una possibile attività sospetta registrata sull’account o in merito all’introduzione di una nuova funzionalità che potrebbe essere bloccata se gli utenti non danno il dovuto consenso. In entrambi i casi, nel messaggio si trova un tasto su cui cliccare e che reindirizza a una pagina di phishing.

2 – Phishing bancario

Il phishing perpetrato con lo scopo di ottenere le informazioni bancarie degli utenti continua ad essere quello più diffuso e i falsi messaggi possono essere inviati a nome di una banca o di un sistema di pagamento. I più comuni riguardano un presunto blocco del conto o una fantomatica attività sospettata rilevata sul conto personale del cliente.

Con il pretesto di dover ripristinare l’accesso, confermare l’identità o annullare una transazione, all’utente viene richiesto di inserire il numero della carta di credito (spesso compreso il codice CVV/CVC) su un falso sito della banca. Dopo aver ricevuto i dati, i cybercriminali prelevano immediatamente il denaro dal conto della vittima; lo stesso accade con i sistemi di pagamento anche se, in questi casi, alle vittime viene richiesto solamente di entrare nel proprio account.

3 – Falsi messaggi da servizi e rivenditori rinomati

Allo stesso modo vengono creati falsi messaggi a nome di popolari store online, servizi di consegna, siti di prenotazioni, piattaforme multimedia, siti di ricerca di lavoro e altri importanti servizi online. I cybercriminali confidano nel fatto che i loro messaggi di spam raggiungeranno alcuni clienti reali di questi servizi, i quali andranno in panico per ciò che leggeranno e cliccheranno quindi su qualsiasi link verrà loro proposto.

4 – Falsi messaggi da servizi e-mail

I cybercriminali utilizzano questo tipo di spam per appropriarsi di username e password da servizi e-mail. Il primo dei due pretesti vede gli utenti invitati a ripristinare la password o ad aumentare lo spazio disponibile sulla propria casella di posta, che sembra essere piena. Il secondo pretesto, invece, promette un aumento considerevole dello spazio sulla casella e-mail e, nell’era odierna del cloud e con il crescente bisogno di immagazzinare grandi quantità di dati, un’offerta del genere può non destare sospetti.

5 – La truffa “alla nigeriana”

Infine, come non citare uno dei più antichi tipi di spam in circolazione? Il famoso messaggio dove un parente o un avvocato di un milionario ormai deceduto promette grandi fortune in cambio di un piccolo pagamento anticipato. Una variante di questo tipo di truffa coinvolge un famoso che si trova in una situazione di difficoltà. Alle vittime viene promessa una lauta ricompensa se accettano di aiutare lo sfortunato milionario a prelevare i suoi fondi bloccati su svariati conti bancari. E, per fare ciò, è necessario inviare certe informazioni personali (come il numero di passaporto, il numero di conto) e una piccola somma di denaro per espletare le dovute formalità.

Come non cadere nella trappola

  • Quando ricevete un messaggio da un’azienda o un servizio, verificate che l’indirizzo da cui viene inviata la notifica sia affidabile. Prendiamo il caso di Google; il messaggio dovrebbe provenire da no-reply@accounts.com e non da no-reply@accounts.google.scroogle.com o simili
  • Se aprite un link di uno di questi messaggi, assicuratevi di essere reindirizzati al sito reale e non a uno falso
  • Utilizzate una soluzione di sicurezza affidabile con protezione anti-spam e anti-phishing, strumenti che individueranno e-mail fraudolente, mantenendovi sempre al corrente