Stefano Gazzella : 16 Ottobre 2025 11:32
La curiosità, vecchia canaglia. Quella che da tempo fa cliccare link o aprire allegati in modo decisamente improvvido. Dopotutto è una di quelle leve che i cybercriminali conoscono bene e non si fanno problemi ad inserire all’interno delle campagne di phishing. E funziona maledettamente bene, soprattutto quando le reti da pesca sono gettate su una larga scala di destinatari. Dopotutto, finché un metodo funziona perché cambiarlo?
Certo, nel tempo tutto sta nel progettare la giusta esca attraverso le tecniche di ingegneria sociale. Ma quel che conta è preparare un bel bait che attiri l’attenzione, solletichi un interesse e induca all’azione di aprire un link o un allegato. Azione che, una volta compiuta da parte della vittima, può essere ostacolata solo dall’intervento di un buon antimalware e una buona dose di fortuna. Ma questo ultimo ingrediente è troppo raro per poterci contare, mentre quello della curiosità è fin troppo ben distribuito.
Ecco che diventa importante essere sempre consapevoli di quale straordinario innesco sia la nostra curiosità. Anche perché è il presupposto fondamentale per poter adottare in autonomia una seri di comportamenti sicuri. Quello, nonché la consapevolezza delle conseguenze delle nostre azioni. Anche quella più apparentemente banale, come può essere un singolo clic.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Non pensiamo che tutti i rischi di quell’invitante clicchino siano da contenere solo alla dimensione dell’e-mail: esistono gli SMS, oppure i QR-code. Questi ultimi vengono in genere stranamente sottovalutati per il proprio potenziale offensivo, nonostante, di fatto, consistano in dei link proposti attraverso il mosaico del codice a barre. Ma questa minore percezione di pericolo, dovuta alla miscela letale di poca conoscenza del mezzo e un falso senso di sicurezza indotto dall’abitudine di vederli oramai impiegati nel quotidiano, rende questo tipo di attacchi molto efficaci.
Il QR-ishing, ovverosia il phishing svolto tramite QR code, è stato segnalato negli ultimi tempi come fenomeno in ascesa, molto probabilmente per la normalizzazione dell’impiego di questo strumento non solo nei ristoranti per il menù, ma anche in campagne pubblicitarie o su cartelli informativi. Insomma: c’è una correlazione diretta fra il crescente impiego di uno strumento e il suo impiego da parte dei cybercriminali come vettore d’attacco. E in questo caso, non c’è nulla di più invitante e che possa destare curiosità di un bel codice QR piazzato nel punto giusto. Un’esca che al momento non suscita troppe preoccupazioni e non fa fare troppe domande. Si inquadra, et voilà: il link, o l’allegato, è servito!
Per quanto riguarda gli SMS, invece, per quanto facciano molto old school, le campagne di smishing devono il proprio successo ad un certo grado di insostenibile – lato sicurezza – leggerezza nell’impiego dello smartphone. Un messaggio di testo può ben contenere un link che rimanda ad un file o un sito malevolo, ma anche qui tutto si gioca sulla mancata percezione del rischio da parte di chi utilizza il mezzo.
Insomma, il comune denominatore? Per le vittime, quella miscela letale di incoscienza e inconsapevolezza, mentre per gli attaccanti, la capacità di suscitare quel tanto di curiosità che basta per ignorare le più elementari cautele.
L’igiene digitale, ovverosia quel novero di comportamenti e abitudini da adottare quotidianamente per proteggere la propria sicurezza digitale, rappresenta un antidoto efficace per resistere a quell’impeto altrimenti irrefrenabile di curiosità. Rafforzando – anzi: fondando – le difese dei singoli sia come individui e cittadini digitali, sia come operatori all’interno di un’organizzazione.
Attenzione ad un dettaglio: essere consapevoli dei rischi e adottare comportamenti sicuri non rende immuni da frodi online, ma ne aumenta il costo per gli attaccanti. Questi dovranno di conseguenza aumentare il proprio impegno per ingegnerizzare attacchi migliori, rinunciando a compiere tutto questo solo nel momento in cui il bottino atteso non è sufficientemente appetibile e remunerativo.
Dettaglio non di poco conto, che andrebbe scritto a lettere cubitali nel foglietto illustrativo dell’antidoto segnalando l’effetto collaterale di sovrastimare la propria sicurezza.
Cosa che comporta conseguenze paragonabili a quelle derivanti dal non averne cura.
Stefano GazzellaIl 15 ottobre 2025 segna un anniversario di eccezionale rilievo nella storia della sicurezza nazionale italiana: cento anni dalla nascita del Servizio Informazioni Militare (SIM), primo servizio di in...
Un nuovo post sul dark web offre l’accesso completo a migliaia di server e database MySQL appartenenti a provider italiani di hosting condiviso. Nelle ultime ore è apparso su un forum underground u...
Un grave incidente di sicurezza è stato segnalato da F5, principale fornitore di soluzioni per la sicurezza e la distribuzione delle applicazioni. Era stato ottenuto l’accesso a lungo termine ai si...
Un nuovo e insolito metodo di jailbreaking, ovvero l’arte di aggirare i limiti imposti alle intelligenze artificiali, è arrivato in redazione. A idearlo è stato Alin Grigoras, ricercatore di sicur...
Nel suo ultimo aggiornamento, il colosso della tecnologia ha risolto 175 vulnerabilità che interessano i suoi prodotti principali e i sistemi sottostanti, tra cui due vulnerabilità zero-day attivame...
