Il bulk phishing rappresenta una delle tecniche più utilizzate dai cybercriminali per ottenere informazioni sensibili dagli utenti basata sull’invio massivo di email o messaggi sms fraudolenti a migliaia di destinatari contemporaneamente.
L’obiettivo dei truffatori è quello di indurre in errore anche soltanto una piccola percentuale dei destinatari delle comunicazioni fraudolente, ed ottenere da questi dati personali e credenziali d’accesso anche a servizi bancari e finanziari.
Spesso i truffatori riescono ad estrarre gli indirizzi email o i recapiti telefonici mobili dei destinatari da database compromessi o tramite tecniche di web scraping o in seguito a data breaches; inoltre, talvolta i dati degli utenti vengono ottenuti mediante la creazione di finte pagine web ove questi ultimi si registrano o tramite compravendita sul dark web di liste profilate di dati personali.
Come funziona il Bulk Phishing?
La creazione delle email o dei messaggi sms fraudolenti avviene mediante tecniche di manipolazione psicologica consistenti in:
- falsificazione dell’identità del mittente, fingendo di essere o rappresentare un ente esistente ed affidabile, anche replicandone fedelmente loghi e firme;
- creazione di una forte sensazione di urgenza negli utenti, minacciando, ad esempio, la sospensione o la cancellazione di un account, o il venire meno, irrimediabilmente, della possibilità di fruire di un servizio;
- incorporazione nella comunicazione di link e/o allegati dannosi, che reindirizzano gli utenti verso siti fittizi, spesso esposti a malware.
I criminali sfruttano strategie psicologiche e avanzate tecniche di persuasione per convincere gli utenti ad agire impulsivamente, in modo da minarne la capacità di autodeterminazione e di discernimento.
Quando la vittima cade nella trappola, i cybercriminali possono riuscire a sottrarre dati personali o sensibili, compromettere account anche relativi a servizi bancari e finanziari o installare malware nel dispositivo usato dalla vittima per aprire la mail o i messaggi sms ricevuti.
Quali si sono le strategie di difesa dagli attacchi Bulk Phishing
In particolare, fermo che non devono mai essere aperti gli allegati ricevuti da soggetti sconosciuti, è opportuno controllare attentamente l’indirizzo o il numero del mittente per verificare l’esistenza di anomalie che inducono fondatamente a dubitare della veridicità della provenienza del messaggio.
Inoltre, ad un comportamento estremamente prudente possono essere affiancati l’utilizzo di filtri anti phishing associati a servizi email utilizzati, in modo che le email sospette siano bloccate automaticante e software antivirus e antimalware, che offronto protezione dagli allegati dannosi.
Infine, qualora si sospetti della veridicità delle comunicazioni ricevute, è opportuno contattare direttamente l’ente a cui la comunicazione sembra associata, utilizzando i relativi canali ufficiali reperibili sul web.
Da ultimo, posto che i truffatori spesso sfruttano le vulnerabilità dei sistemi informatici degli utenti per perpetrare gli attacchi, è buona prassi, per ridurre il rischio di esposizione agli accessi malevoli, tenere sempre aggiornati il proprio sistema operativo.