Attacchi di phishing che sfruttano i marchi popolari
I ricercatori di cybersecurity stanno mettendo in guardia contro campagne di phishing che imitano marchi noti per ingannare le vittime e indurle a chiamare numeri di telefono gestiti da attori malevoli. Un’analisi delle email di phishing con allegati PDF, condotta tra il 5 maggio e il 5 giugno 2025, ha rivelato che Microsoft e Docusign sono i marchi più imitati. Anche NortonLifeLock, PayPal e Geek Squad sono frequentemente utilizzati in queste email di phishing.
La tecnica del Telephone-Oriented Attack Delivery (TOAD)
Una parte significativa delle minacce via email con allegati PDF persuade le vittime a chiamare numeri di telefono controllati dagli avversari, utilizzando una tecnica di ingegneria sociale nota come Telephone-Oriented Attack Delivery (TOAD), o callback phishing. Durante queste chiamate, gli attaccanti si spacciano per rappresentanti del servizio clienti e ingannano le vittime per ottenere informazioni sensibili o installare malware sui loro dispositivi.
Il ruolo dei codici QR nei phishing
Le email di phishing con codici QR e allegati PDF sfruttano le annotazioni PDF per incorporare URL all’interno di note adesive, commenti o campi modulo, collegando i codici QR a pagine web autentiche per dare l’impressione di messaggi affidabili. Questi messaggi spesso includono allegati PDF con marchi legittimi come Adobe e Microsoft, che contengono codici QR malevoli o link a pagine di phishing che imitano servizi come Dropbox.
La maggior parte delle campagne TOAD si basa sull’illusione di urgenza, ma la loro efficacia dipende spesso da quanto abilmente gli attaccanti imitano i flussi di lavoro reali del supporto clienti, utilizzando tattiche di call center, musica d’attesa e persino ID chiamante falsificati. Questa tecnica è stata ampiamente utilizzata per installare trojan bancari su dispositivi Android e programmi di accesso remoto su computer delle vittime per ottenere accesso persistente.
Avvertimenti e precauzioni
Nel maggio 2025, l’FBI ha avvertito di attacchi simili perpetrati da un gruppo finanziariamente motivato chiamato Luna Moth, che si spacciava per personale del dipartimento IT per violare le reti bersaglio. Gli attaccanti utilizzano la comunicazione vocale diretta per sfruttare la fiducia delle vittime nelle telefonate e la percezione che la comunicazione telefonica sia un modo sicuro per interagire con un’organizzazione.
Anonimato e difficoltà di tracciamento
Cisco Talos ha evidenziato che la maggior parte degli attori malevoli utilizza numeri VoIP per rimanere anonimi e rendere più difficile il tracciamento, con alcuni numeri riutilizzati consecutivamente per numerose campagne di phishing.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
