Le chiamate truffaldine che sfruttano l'identità di marchi famosi rappresentano una delle minacce informatiche più insidiose del momento, con criminali che orchestrano elaborate campagne di phishing attraverso documenti PDF apparentemente innocui. Questa tecnica, denominata TOAD (Telephone-Oriented Attack Delivery), ribalta il tradizionale schema delle truffe online: non sono più i malintenzionati a contattare le vittime, ma sono queste ultime a chiamare volontariamente numeri controllati dai cybercriminali. Il meccanismo è tanto semplice quanto efficace: un'email che imita perfettamente loghi e comunicazioni di colossi come PayPal o Apple convince il destinatario della necessità di risolvere urgentemente una questione finanziaria.
L'inganno del callback phishing
Secondo le ricerche condotte da Cisco Talos, questa forma di brand impersonation sfrutta la popolarità di marchi consolidati per indurre le persone a rivelare informazioni sensibili. I documenti PDF allegati alle email contengono numeri di telefono fasulli che le vittime sono invitate a chiamare per confermare transazioni sospette o risolvere presunte problematiche urgenti. Una volta stabilito il contatto telefonico, i truffatori si spacciano per rappresentanti legittimi dell'azienda e manipolano psicologicamente l'interlocutore per ottenere dati confidenziali o convincerlo a installare malware sul proprio dispositivo.
Questo approccio rappresenta un'evoluzione significativa rispetto alle tradizionali truffe telefoniche, poiché sfrutta la fiducia che le persone ripongono nei marchi più noti del settore tecnologico e finanziario. La tecnica risulta particolarmente efficace perché le vittime, credendo di stare risolvendo un problema legittimo, sono più propense a collaborare e fornire informazioni personali.
L'intelligenza artificiale amplifica i rischi
L'emergere dell'intelligenza artificiale ha ulteriormente complicato il panorama della sicurezza digitale, come sottolinea Belsasar Lepe, co-fondatore e CEO di Cerby. La necessità di identità digitali sicure non è mai stata così urgente, considerando che la stessa tecnologia capace di migliorare l'esperienza personalizzata degli utenti può essere utilizzata per creare truffe sempre più sofisticate. "Ci troviamo in una situazione moderna dove quella stessa tecnologia può essere usata per offrire un'esperienza personalizzata migliore, ma può anche essere impiegata per creare esperienze personalizzate rischiose, dove si viene ingannati nell'interagire con qualcuno che non è chi dice di essere", spiega Lepe.
Il problema si intensifica quando si considerano le applicazioni non standard, spesso trascurate dalle piattaforme di identità tradizionali. Questi sistemi, che non si integrano facilmente con il single sign-on o altri standard di identità, creano lacune che i criminali sfruttano sistematicamente. Cerby concentra la propria attenzione proprio su queste applicazioni che "non sono necessariamente collegabili usando standard di identità moderni", creando una dinamica unica che richiede collaborazione non solo con i team di sicurezza, ma anche con i responsabili delle diverse linee di business.
Un campo di battaglia asimmetrico
La descrizione che Lepe offre del panorama delle minacce informatiche è tanto realistica quanto preoccupante: si tratta di un ambiente "fondamentalmente ingiusto e molto asimmetrico". Mentre i professionisti della cybersicurezza devono mantenere standard di protezione perfetti in ogni momento, gli attaccanti hanno bisogno di una sola vulnerabilità per compromettere l'intero sistema. Questa disparità rappresenta una delle sfide più significative nel campo della sicurezza informatica contemporanea.
L'evoluzione delle tecniche di social engineering attraverso l'impersonificazione di marchi consolidati dimostra come i cybercriminali continuino ad adattare le proprie strategie per sfruttare la fiducia e l'urgenza percepita dalle vittime. La combinazione tra documenti PDF convincenti, loghi autentici e la psicologia della chiamata di emergenza crea un cocktail particolarmente potente per aggirare le difese tradizionali basate sulla sensibilizzazione degli utenti.