Gli hacker continuano a perfezionare la cura dei dettagli e le tecniche di ingegneria sociale, con il chiaro obiettivo di rendere sempre più complessa alle proprie vittime la distinzione di quei segnali che dovrebbero rivelare una truffa o quantomeno far scattare un campanello d'allarme.
Proprio in questo ambito s'inserisce la massiccia campagna di phishing di recente portata all'attenzione dagli esperti di cybersicurezza di Kaspersky, i quali hanno individuato una nuova serie di false email indirizzate in particolar modo ad aziende, all'interno delle quali vi sono delle comunicazioni sempre più personalizzate. Oltre al contenuto "mirato" del testo e all'indicazione precisa del destinatario, a rendere più difficile capire fin da subito di trovarsi al centro di una potenziale truffa c'è il fatto che accanto al nome del mittente compaia l'etichetta di utente verificato: questo falso ma estremamente realistico badge è un ulteriore elemento utilizzato dagli hacker per far abbassare le difese al loro obiettivo di turno.
La comunicazione personalizzata e rassicurante consente ai cybercriminali di conquistare la fiducia della persona a cui è indirizzata, convincendola della bontà del messaggio e spingendola ad aprire il "Manuale per dipendenti" allegato nell'email contenente delle nuove linee guida da seguire. In realtà il documento, nel quale è più volte indicato il nome del destinatario, presenta solo un frontespizio, un indice e una pagina nella quale si trova un QR Code, scansionando il quale si dovrebbe avere accesso al file completo.
Peccato che, una volta effettuata la scansione, si venga trasferiti in una pagina esterna nella quale vengono richieste le credenziali di accesso aziendali le quali, una volta inserite, forniscono all'hacker gli strumenti per violare i sistemi di sicurezza e impossessarsi di dati sensibili, da riciclare e rivendere online oppure da restituire dietro il pagamento di un riscatto.
La vittima, spiegano i ricercatori di Kaspersky, è quindi erroneamente convinta dalla nuova strategia che il messaggio sia stato creato appositamente per lei.
Gli esperti esortano sempre a diffidare di ogni messaggio in cui si richiede l'inserimento di dati sensibili, consigliando ai dipendenti di verificare l'autenticità di certe comunicazioni"direttamente con il reparto risorse umane, utilizzando canali sicuri e separati da quelli potenzialmente compromessi".