Crescono del 25% i cyber attacchi legati al Black Friday rispetto al 2023, dimostrando “come i cybercriminali sappiano sfruttare eventi di massa per massimizzare l’efficacia delle loro campagne”, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.
Ma a destare l’allarme non sono i soliti tentativi di phishing e i consueti siti truffaldini creati ad hoc, bensì “la disponibilità di pacchetti fullz ovvero completi di dati personali, venduti a prezzi relativamente accessibili, e l’uso di email persuasive per truffare milioni di utenti”, mette in guardia Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Ecco quali sono i pericoli meno scontati e come mitigare il rischio in vista del Black Friday, che inaugura la stagione dell’eCommerce di Natale.
Indice degli argomenti
Pacchetti fullz: cosa sono e perché preoccupano sotto il Black Friday
Da anni il Black Friday si è trasformato nel Black Fraud Day, uno dei giorni più a rischio frode dell’anno, secondo la definizione, riportata dal Guardian, del responsabile della cyber security del Regno Unito. Come ogni evento di massa che diventa un’occasione ghiotta per rubare dati, denaro e moltiplicare la diffusione di malware.
“L’espressione Black Fraud Day è quanto mai significativa e sintetizza in modo brillante la galassia di rischi e minacce a cui sono esposti i consumatori durante quello che, più che un giorno, è divenuto un periodo di occasioni, sconti e promozioni, soprattutto online”, sottolinea Enrico Morisi, Ict Security Manager.
Ma venerdì 29 novembre, il Black Friday seguito dal Cyber monday, che inaugura il periodo di shopping natalizio, non dovremo solo preoccuparci dei siti fasulli e delle truffe via phishing. Ma sale l’allarme per i pacchetti full z, che si fregiano di dati personali, venduti a prezzi relativamente bassi, per sferrare attacchi mirati.
Questi pacchetti contengono set completi di dati di carte di credito, comprese informazioni sensibili come numero della carta, data di scadenza, CVV, nome del titolare, indirizzo di fatturazione e numero di telefono.
I dati delle carte di credito, frutto di trafugamenti vari, sono rivenduti sul dark web, con prezzi che oscillano fra i 70 e i 315 dollari. In una di queste campagne, un venditore metteva in offerta saldi del 10% sui dati delle carte di
credito rubate provenienti da Paesi come Canada, Australia, Italia e Spagna.
“In un contesto in cui persino i mercati del dark web adottano tattiche di marketing simili a quelle dei retailer legittimi, è evidente che la linea tra frode e autenticità è sempre più sottile, e solo un approccio proattivo può proteggerci da queste minacce”, evidenzia Fadda.
Accanto agli aspetti emersi dal rapporto, “aggiungo la minaccia rappresentata dai sistemi basati di intelligenza artificiale generativa (GenAI) che stanno portando la complessità di queste frodi e la loro efficacia a livelli mai visti prima“, mette in guardia Paganini.
La GenAI amplifica i rischi
In Uk, con oltre 16.000 casi di frode legata allo shopping online e perdite medie di 695 sterline per vittima, le piattaforme social sono comparse nel 43% delle denunce di truffe, mentre i marketplace online nel 18,9%, secondo ESET.
Oggi le promozioni sui social spesso avvengono senza i controlli rigorosi che necessirterebbero. Invece risultano “abbastanza convincenti da indurre le persone a pagare in pochi istanti. Ad amplificare questo rischio è l’uso della tecnologia AI avanzata, che accelera l’individuazione del target e rende le truffe sempre più credibili, senza i classici errori di ortografia o grammatica che tradizionalmente le smascheravano”, sottolinea Jake Moore, Global Security Advisor di ESET.
Le persone subiscono ulteriori manipolazioni “quando amici o contatti condividono offerte tramite app di messaggistica o chat di gruppo. Queste promozioni potrebbero non essere sempre verificate e potrebbero persino provenire da account compromessi, che sono difficili da individuare”, ricorda Moore.
Phishing mirato verso marketplace, banche e retailer tecnologici
Le offerte fraudolente del Black Friday provengono in una vasta gamma di modalità, dai classici tentativi di phishing tramite email agli annunci pubblicitari presenti sulle pagine web o via social.
Gli “sconti esclusivi” e imperdibili sembrano provenire da grandi rivenditori come Amazon, Walmart ed Etsy. Ovviamente non è vero.
“Questi attacchi non solo mettono a rischio i risparmi, ma anche la fiducia nei sistemi di eCommerce, fulcro del commercio moderno”, aggiunge Paganini.
“Dal report di Kaspersky sui rischi legati al Black Friday emerge un quadro scontato”, avverte Paganini: ma a colpire maggiormente è “il numero di tentativi di phishing bloccati nel 2024: oltre 38 milioni, con un aumento del 25% rispetto al 2023, evidenziando una focalizzazione criminale sulle pratiche fraudolente oggetto del rapporto”.
Eventi come il Black Friday rappresentano infatti “un’opportunità unica per colpire gli ignari consumatori”, continua Paganini: “Sorprendono anche le strategie di marketing usate sul dark web, come sconti sui dati rubati, che replicano le tattiche dei rivenditori legittimi“.
Il 44% di questi attacchi ha utilizzato i servizi bancari come esca, in crescita di quasi il 25% rispetto ai 30.803.840 tentativi registrati nello stesso periodo del 2023.
“Phishing e smishing sono ad oggi gli attacco più semplici da mettere in atto su larga scala e seppur con una percentuale di riuscita bassa, i singoli casi di attacco andato a segno, sono sufficienti a mandare avanti l’attività criminale, solitamente con migliaia di euro di danni ai privati”, evidenzia Fadda.
Come mitigare il rischio dei pacchetti fullz e degli altri rischi cyber
Oltre a puntare sulla consapevolezza, occorre prendersi il tempo necessario per sventare i tentativi di frodi e “non sentirsi sotto pressione per acquistare può salvare le persone da questo tipo di truffe. Fare ricerche e verificare con attenzione siti web nuovi può aiutare a proteggere i propri risparmi”, aggiunge Jake Moore.
“La varietà e la sofisticazione delle truffe descritte da Kaspersky, come il phishing mirato verso marketplace, banche e retailer tecnologici, evidenziano la necessità di una maggiore consapevolezza degli utenti e l’adozione di misure preventive solide“, avverte Dario Fadda.
Sembrano impercettibili gli errori di ortografia o nomi di dominio lievemente modificati dei siti fasulli, ma scoprirli evita di cadere vittime di siti trappola e di perdere denaro.
“Strategie come la verifica degli URL, l’utilizzo di soluzioni di sicurezza affidabili e il controllo delle transazioni bancarie non sono solo raccomandazioni”, mette in guardia Fadda, “ma devono diventare prassi consolidate per chiunque partecipi agli acquisti online“.
Le regole d’oro per evitare di cadere vittime di queste frodi consistono nelle verifiche di mail e siti. Ma non basta. Occorre accedere anche al proprio conto bancario online per verificare la legittimità di tutte le transazioni, immediatamente contattando, in caso contrario, la banca o la compagnia della carta di credito per bloccare frodi in atto.
“Se si dovesse indicare una misura, tra tutte, da adottare per mitigare il rischio, probabilmente la più efficace sarebbe l’attivazione della Multi-Factor Authentication (MFA) sugli account utilizzati, possibilmente phishing-resistant, prediligendo l’uso delle soluzioni basate su passkey“, avverte Morisi.
La cultura della sicurezza: 3 suggerimenti utili
“Come sempre, e a maggior ragione in questi casi, è la cultura della sicurezza che vince, tant’è che lo stesso UK National Cyber Security Centre (NCSC) ha appositamente lanciato la campagna di sensibilizzazione Stop! Think Fraud con l’obiettivo ambizioso di fornire le conoscenze e gli strumenti necessari per difendersi dalle minacce incombenti, sottolineando l’elevato livello di rischio che tutti corrono, nessuno escluso, educando all’individuazione delle minacce, insegnando a proteggersi e, nel caso, a gestire e a riprendersi da eventuali frodi, incendivando alla segnalazione presso gli organismi preposti, essendo stati attivati diversi canali di comunicazione”, ricorda Morisi.
La Cybersecurity & Infrastructure Security Agency (CISA), “esattamente un anno fa, pubblicava, inoltre, un fact sheet molto utile e interessante, dal titolo Holiday Online Shopping Tips“, ricorda Morisi, “declinato in 3 suggerimenti fondamentali:
- verifica preventiva della security posture del dispositivo utilizzato, aggiornando il Sistema Operativo, il software e le app, adottando una password policy adeguata e attivando la MFA;
- acquisto solo presso esercenti verificati e affidabili, facendo estrema attenzione al dominio Internet utilizzato e alla cifratura della comunicazione (ndr “https“) evitando ‘facili’, scorciatoie come per esempio il click da post sui social network o da email;
- uso di metodi di acquisto sicuri, facendo estrema attenzione ai dati condivisi, in un’ottica di privacy e protezione del dato”, conclude Morisi.
