L’Istituto Nazionale Previdenza Sociale (INPS) ha reso noto ieri, all’interno dei social network, di una campagna di phishing bancario che esorta la vittima al saldo di presunti contributi non pagati.
“Il contenuto del l’email è scritto in italiano corretto e presenta il logo INPS, ma quanto indicato e le modalità suggerite non sono fornite dall’Istituto”
Viene riportato dall’INPS in un comunicato.
L’allegato che viene fornito in attachment alla mail sembra veramente fatto bene, pertanto è presumibile che si tratti di criminali informatici che sanno il fatto loro. Sembrerebbe, da quanto viene riportato, che al momento più di 170 persone sono rimaste vittime della frode.
Esempio di allegato presente nelle mail malevole
Le tipologie di campagne malevole
Esistono diversi tipi di campagne malevole e possiamo sintetizzarle in:
Phishing: è un tipo di attacco informatico in cui un aggressore cerca di ottenere informazioni personali o sensibili, come username, password o numeri di carta di credito, fingendosi un’organizzazione affidabile o una persona di fiducia. Gli attacchi di phishing sono solitamente condotti tramite e-mail, ma possono anche essere effettuati attraverso messaggi istantanei, social media o altri canali online;
Smishing: è un tipo di attacco informatico simile al phishing, ma condotto tramite messaggi di testo o SMS invece che attraverso e-mail. Gli attaccanti cercano di convincere le vittime a fornire informazioni personali o sensibili o a cliccare su un link malevolo;
Vishing: è un tipo di attacco informatico in cui un aggressore cerca di ottenere informazioni personali o sensibili, come numeri di carta di credito o PIN, attraverso una telefonata. Gli attaccanti possono fingere di essere rappresentanti di un’organizzazione affidabile, come una banca o un’azienda di carte di credito, e cercare di convincere le vittime a fornire le informazioni richieste.
In sintesi, il phishing si concentra sulle e-mail, lo smishing sulle comunicazioni via SMS e il vishing sulle telefonate. In tutti e tre i casi, l’obiettivo è lo stesso: ottenere informazioni personali o sensibili delle vittime al fine di commettere frodi o altri reati informatici.
Per non incorrere nel phishing, i nostri consigli sono:
Non fornire informazioni personali o sensibili, come password o numeri di carta di credito, tramite e-mail o siti web non verificati;
Verificare sempre l’URL del sito web che si sta visitando, assicurandosi che sia corretto e che utilizzi il protocollo “https” invece di “http”;
Non fare clic su link sospetti o inaspettati provenienti da mittenti sconosciuti o che sembrano essere da fonti affidabili, come le banche o le società di carte di credito;
Utilizzare un software antivirus e antimalware aggiornato e affidabile;
Mantenere aggiornati il sistema operativo, il browser e gli altri software installati;
Fare attenzione alle e-mail che chiedono di cliccare su un link per aggiornare le informazioni dell’account o per ripristinare una password, perché potrebbero essere tentativi di phishing;
Utilizzare l’autenticazione a due fattori o la verifica in due passaggi, quando disponibile, per aumentare la sicurezza dell’account;
Fare attenzione alle e-mail che richiedono un’azione immediata o che minacciano conseguenze negative se non si agisce, perché potrebbero essere tentativi di phishing;
Ma in generale, quando si è di fronte ad una mail di dubbia provenienza, aumentare sempre l’attenzione.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
La scoperta è avvenuta casualmente: navigando sulla versione web mobile di Instagram, Jatin Banga ha notato che i contenuti di alcuni profili privati erano visibili senza alcuna autorizzazione. Analizzando il traffico dati, ha individuato la…
Un recente leak ha rivelato 149 milioni di login e password esposti online, tra cui account di servizi finanziari, social, gaming e siti di incontri. La scoperta è stata fatta dal ricercatore Jeremiah Fowler e…
PixelCode nasce come progetto di ricerca che esplora una tecnica nascosta per archiviare dati binari all’interno di immagini o video. Invece di lasciare un eseguibile in chiaro, il file viene convertito in dati pixel, trasformando…
Di recente, i ricercatori di sicurezza hanno osservato un’evoluzione preoccupante nelle tattiche offensive attribuite ad attori collegati alla Corea del Nord nell’ambito della campagna nota come Contagious Interview: non più semplici truffe di fake job…
Microsoft si appresta a introdurre un aggiornamento che trasforma una piccola abitudine manuale in un automatismo di sistema. Presto, Microsoft Teams sarà in grado di dedurre e mostrare la posizione fisica di un utente analizzando…
