Codice: TECH-002 | Rev.04
INDICE DELLE MINACCE (Navigazione Rapida)
- L’Ingegneria Sociale (Hacking della Mente)
- SMS Spoofing e Phishing 2.0
- Vishing e AI Voice Cloning
- Deepfake Video: La nuova frontiera
- Malvertising: I Risultati Manipolati
- Quishing: Il Pericolo nel QR Code
1. L’Ingegneria Sociale: L’Hacking della Mente
L’ARMA: La Trappola dell’Urgenza e dell’Autorità
Il truffatore sa che un uomo nel panico non può pensare logicamente. L’attacco inizia sempre con un “trigger” emotivo: un avviso di blocco conto o una chiamata da un finto operatore istituzionale.
- La Meccanica: Creano una “scarsità temporale” (es. “azione necessaria entro 5 minuti”) per spegnere la logica e attivare l’istinto, portandoti a fornire dati senza riflettere.
LA DIFESA: Interruzione e Verifica Sovrana
- L’Azione di Blocco: Non appena avverti urgenza trasmessa da uno sconosciuto, interrompi la comunicazione. Riattacca. Chiudi il messaggio.
- La Verifica Attiva: Se il dubbio persiste, agisci tu proattivamente. Non richiamare mai il numero che ti ha contattato. Cerca il numero ufficiale della tua banca o dell’ente sul sito originale e chiama tu. Se l’emergenza era reale, l’operatore vero avrà traccia della pratica.
2. SMS Spoofing e Phishing 2.0
L’ARMA: Il Falso Mittente e il Dominio Ombra
Ricevi un SMS che appare nella stessa conversazione dei messaggi reali della banca.
- La Meccanica: Usano lo Spoofing, una tecnica che altera l’ID del mittente nel protocollo di invio. Il link punta a un sito “mirror” che cattura credenziali e codici OTP in tempo reale.
LA DIFESA: URL Forensics e Accesso Indipendente
- L’Azione: Non cliccare mai sui link negli SMS. Accedi ai servizi solo tramite l’App ufficiale o digitando manualmente l’indirizzo nel browser.
- Controllo URL: Verifica sempre che l’indirizzo sia esattamente quello ufficiale (es.
banca.ite nonbanca-sicurezza.net).
3. Vishing e AI Voice Cloning
L’ARMA: La Voce del Conoscente
Ricevi una chiamata dove senti la voce di un tuo familiare in difficoltà o di un operatore noto.
- La Meccanica: Grazie all’AI Voice Cloning, bastano pochi secondi di un video pubblico per generare una voce sintetica indistinguibile dall’originale. Chiedono denaro o codici per “risolvere un’emergenza”.
LA DIFESA: Protocollo “Out-of-Band” e Parola Chiave
- L’Azione: Applica la regola Reject & Callback. Riattacca e chiama tu il familiare sul suo numero abituale o la banca sul numero verde ufficiale.
- Family Shield: Stabilisci con i tuoi cari una “parola d’ordine” segreta da usare solo in vere emergenze. Se chi chiama non la conosce, è un clone.
4. Deepfake Video: La Truffa della “Presenza”
L’ARMA: La Videochiamata Ingannevole
Ricevi una videochiamata (su WhatsApp o piattaforme di meeting) dove vedi il volto del tuo capo o di un parente che ti chiede di effettuare un’operazione finanziaria urgente.
- La Meccanica: Algoritmi di Real-time Deepfake sovrappongono volti e mimica facciale in diretta. È l’evoluzione della “CEO Scam”.
LA DIFESA: Il Test dell’Imprevisto
- L’Azione: Se la richiesta è insolita, poni una domanda personale a cui solo l’originale può rispondere, o chiedi alla persona di compiere un movimento non naturale (es. passarsi una mano davanti al viso). Spesso il software di deepfake genera artefatti visivi o ” glitch” quando l’immagine viene interrotta da un oggetto fisico.
5. Malvertising e Digital Mimicry
L’ARMA: L’Infiltrazione nei Risultati di Ricerca
Cercando termini come “Supporto Tecnico [Brand]” o “Accesso [Banca]”, tra i primi risultati possono apparire annunci sponsorizzati che portano a portali clone.
- La Meccanica: I criminali utilizzano tecniche di SEO Poisoning e acquistano spazi pubblicitari (Malvertising) eludendo temporaneamente i controlli delle piattaforme. Il sito destinazione sembra ufficiale, ma serve a installare malware o a fornire numeri di assistenza falsi gestiti da truffatori.
LA DIFESA: Navigazione Diretta
- L’Azione: Evita di cliccare sui risultati contrassegnati come “Sponsorizzato” per servizi critici (banche, assicurazioni, PA). Digita sempre l’URL ufficiale direttamente nella barra degli indirizzi o usa i segnalibri (bookmark) salvati in precedenza.
6. Quishing: Il Pericolo nel QR Code
L’ARMA: Il QR Code Contraffatto
Il truffatore applica un adesivo con un QR code malevolo sopra quello originale (su menu, parchimetri o colonnine di ricarica).
- La Meccanica: Scansionandolo, vieni indirizzato a una pagina di pagamento fasulla che clona i dati della carta. Questa tecnica è il Quishing (QR Phishing).
LA DIFESA: Ispezione Fisica e URL Preview
- L’Azione: Tocca il QR code prima di scansionarlo. Se è un adesivo applicato sopra una superficie liscia, diffida. Dopo la scansione, controlla sempre l’anteprima dell’URL sul telefono: se il dominio non corrisponde al locale o al servizio che stai usando, chiudi immediatamente.
Lo Scudo Tecnico Finale (Passkeys e Hardware Key)
Consumity valida le uniche tecnologie che nel 2026 rendono il phishing tradizionale inefficace:
- Passkeys: Sostituiscono la password con la biometria. Poiché la chiave è legata crittograficamente al sito reale, non può essere “consegnata” accidentalmente a un sito falso.
- Hardware Key (Yubikey): Una chiave fisica USB/NFC. Senza il possesso dell’oggetto, l’hacker non può accedere ai tuoi account, indipendentemente dai dati che ha rubato.
La cybersecurity è un duello di attenzione. Il truffatore vince se ti mette fretta o se manipola la tua fiducia visiva e uditiva. Applica il metodo del “Sospetto Sistemico”: ogni richiesta che arriva da canali esterni è nulla fino a tua validazione tramite canali ufficiali indipendenti.