Indice
- 1 Voce clonata, bonifici lampo e portali finti: tre controlli rapidi per evitare danni
- 2 Conoscere lo spear phishing per evitare la trappola
- 3 Come nasce un’email cucita addosso
- 4 IA e deepfake: perché sembra tutto vero
- 5 Indizi utili: mittente, link, urgenze, pagamenti
- 6 Difese pratiche: MFA e verifiche
- 7 Dati e costi: perché l’impatto è così alto
Voce clonata, bonifici lampo e portali finti: tre controlli rapidi per evitare danni
I truffatori del web hanno imparato a sfruttare l’intelligenza artificiale contro gli utenti, dando vita a una nuova generazione di attacchi sempre più credibili e difficili da individuare. Tra questi si sta diffondendo una tecnica ancora più mirata, costruita su misura per la vittima e basata su dati reali: lo spear phishing. I vecchi messaggi generici lasciano spazio a comunicazioni che sembrano arrivare davvero da colleghi, banche o fornitori, con dettagli plausibili e richieste che sembrano normali.
Conoscere lo spear phishing per evitare la trappola
Lo spear phishing è una frode digitale che sceglie una specifica persona e usa la fiducia come chiave d’ingresso. Di solito arriva con un messaggio che sembra normale: una mail “dall’ufficio”, una richiesta “del capo”, un file “da firmare”, una fattura “da saldare”. Il contenuto è coerente e spesso agganciato a situazioni reali, con riferimenti a colleghi, attività o progetti in corso. Caratteristiche che rendono la trappola infallibile.
Nel glossario del National Institute of Standards and Technology la truffa viene definita come un “qualsiasi attacco di phishing altamente mirato”. Il perimetro resta quello del classico phishing, che il CERT-AgID descrive come “una frode informatica, realizzata attraverso l’invio di e-mail contraffatte”. Qui però entra in gioco la personalizzazione: ENISA spiega che questi attacchi puntano individui o organizzazioni specifiche, imitano fonti affidabili e sfruttano informazioni pubbliche per costruire una storia credibile.
Gli obiettivi restano sempre gli stessi, ma cambiano le modalità. Si cerca di rubare credenziali, ottenere dati riservati o avviare pagamenti. La tecnologia è solo una parte del problema. La leva vera resta umana: convincere qualcuno a compiere un’azione che, fuori contesto, avrebbe evitato senza pensarci troppo.
Altre notizie selezionate per te:
Truffa dello scontrino bancomat, l’allarme e i consigli della Fabi
Truffa del CAF e della ASL via SMS: così svuotano il credito telefonico
“Truffa della ballerina” su WhatsApp: come funziona e come evitarla
Truffe telefoniche in aumento: prefissi sospetti e difese utili
Come nasce un’email cucita addosso
Uno spear phishing efficace nasce dopo esser stato progettato a tavolino. Si parte con la fase di raccolta informazioni, che spesso passa inosservata (ruoli aziendali, fornitori, abitudini operative, tono di scrittura, gerarchie interne). Chi attacca raccoglie le informazioni per poi costruire un copione coerente. A rischio tutte quelle organizzazioni che usano procedure ripetitive e comunicazioni standard facili da imitare.
I numeri aiutano a capire la portata del fenomeno. Barracuda Networks, in un report basato anche su una survey di Vanson Bourne, evidenzia che, nel 2022, almeno il 50% delle organizzazioni è stato vittima di spear phishing. In media, ogni realtà riceve ogni giorno circa 5 email di questo tipo. Questi attacchi rappresentano appena lo 0,1% del traffico email malevolo, ma gli esperti di sicurezza fanno sapere siano anche collegati al 66% delle violazioni.
Poi si passa alla fase operativa. L’obiettivo viene deciso prima ancora di scrivere il messaggio. In azienda, le strade più frequenti sono due: ottenere accessi oppure far partire un pagamento. Qui entra in gioco il Business Email Compromise, che l’Internet Crime Complaint Center definisce come una truffa basata su richieste di trasferimento fondi apparentemente legittime.
Quando una casella email viene compromessa la situazione precipita. Secondo lo stesso report, il 24% delle organizzazioni analizzate ha subito almeno un caso di account takeover, e da ogni account compromesso partono in media 370 email malevole. Il tempo di rilevazione resta un problema non secondario: spesso servono quasi due giorni per accorgersi dell’incidente. Nel frattempo il danno si amplia. Il 39% delle vittime segnala perdite economiche dirette, oltre a furti di dati e infezioni da malware.
Altre notizie per te:
Nuova minaccia phishing, attenti alle false email dell’Agenzia delle Entrate e dell’AgID
IA e deepfake: perché sembra tutto vero
L’intelligenza artificiale ha alzato l’efficacia della truffa. Le email sono scritte meglio, e il tono risulta perfettamente coerente con le attività aziendali. Spariscono tutti quegli errori che una volta facevano scattare il sospetto. Nel Cost of a Data Breach Report 2024, IBM lo sintetizza così: “L’IA generativa rende più facile che mai, anche per chi non parla inglese, creare messaggi di phishing grammaticalmente corretti e plausibili”.
Ora, grazie all’IA, il testo viene adattato al contesto. I dati raccolti online vengono organizzati in una narrazione credibile. E poi c’è la parte più delicata, quella che vede l’utilizzo di elementi vocali e immagini. I deepfake permettono di simulare chiamate o messaggi audio che sembrano arrivare da persone reali.
È un fenomeno già monitorato dalle autorità. Nel 2024 la Federal Bureau of Investigation ha avvisato: “Gli attaccanti stanno sfruttando l’intelligenza artificiale per creare messaggi vocali o video ed email altamente convincenti, allo scopo di mettere in atto frodi ai danni sia di individui sia di aziende”. Anche la Cyber Threat Alliance evidenzia come la GenAI venga usata per rendere più efficienti tecniche già esistenti, aumentando qualità e velocità degli attacchi.
Indizi utili: mittente, link, urgenze, pagamenti
Il primo segnale punta sulla reazione emotiva. Fretta, urgenza e pressione. Richieste da chiudere subito, magari con tono autoritario o riservato. Il CERT-AgID descrive diversi scenari: scadenze password, rinnovi contrattuali, problemi su pagamenti o trasferimenti di denaro. Quando entra in gioco il denaro ovviamente, il margine di errore si riduce.
Poi ci sono i dettagli tecnici. Il dominio del mittente, il campo “Reply-To”, il link cliccato, il sito finale. A prima vista sembra tutto corretto, ma basta una differenza minima per cambiare tutto. Qui entrano in gioco le difese base: sistemi come DMARC, insieme a SPF e DKIM, verificano il server mittente e aiutano a intercettare anomalie.
C’è infine un terzo livello, più subdolo. Alcune truffe usano procedure che sembrano di sicurezza. In una campagna italiana legata allo SPID, le email chiedevano aggiornamenti documentali e portavano a siti malevoli. In alcuni casi veniva richiesto persino un video in tempo reale. Tutto appariva strutturato e legittimo.
Difese pratiche: MFA e verifiche
La difesa funziona a strati. Sul piano tecnico, strumenti come SPF, DKIM e DMARC aiutano a proteggere la posta elettronica e a ridurre le possibilità di impersonificazione. Il National Institute of Standards and Technology li considera fondamentali per garantire autenticità e integrità dei messaggi.
Sul fronte degli accessi, la multi-factor authentication resta una delle misure più efficaci. Richiede due elementi distinti per accedere, e questo rende molto più difficile sfruttare credenziali rubate.
Poi ci sono le procedure. Verifica a due persone, conferma telefonica per i pagamenti, controllo diretto delle modifiche ai dati bancari. Sono passaggi semplici, ma riducono drasticamente il rischio.
Infine c’è l’abitudine. Fermarsi un attimo, leggere con attenzione, chiedersi se quella richiesta ha senso. Spesso basta questo per evitare il problema.
Dati e costi: perché l’impatto è così alto
Quando uno spear phishing va a segno, difficilmente resta un episodio isolato. Parte da una credenziale rubata e può trasformarsi in una catena di eventi: accesso ai sistemi, furto di dati, blocco operativo, risposta all’incidente. Il Cost of a Data Breach Report 2024 di IBM indica un costo medio globale di 4,88 milioni di dollari, con un aumento del 10% rispetto all’anno precedente. Tra le cause iniziali, le credenziali compromesse rappresentano il 16% dei casi e il phishing il 15%.
Quando si parla di frodi dirette, i numeri diventano ancora più importanti e inquietanti. L’Internet Crime Complaint Center segnala oltre 305 mila incidenti legati al Business Email Compromise tra il 2013 e il 2023, con perdite per 55,499 miliardi di dollari. Nel solo 2024, le segnalazioni complessive superano le 859 mila, con danni per 16,6 miliardi.
In Italia, il Rapporto Clusit 2025 attribuisce al phishing e al social engineering l’11% delle tecniche di attacco osservate. Nel report Barracuda, il 39% delle vittime di spear phishing dichiara una perdita economica diretta. Anche il mercato della difesa cresce rapidamente. Secondo Grand View Research, il settore legato allo spear phishing valeva 1,75 miliardi di dollari nel 2024 e potrebbe superare i 4,8 miliardi entro il 2033. E poi ci sono i casi concreti, quelli che fanno capire davvero la portata: Ubiquiti Networks ha perso quasi 47 milioni di dollari in 17 giorni a causa di un attacco di whaling.
A cura della Redazione GTNews
Link utili:
Phishing – CERT-AGID
Internet Crime Complaint Center (IC3) | Business Email Compromise: The $55 Billion Scam
