Non cascare nella trappola: truffa via email con tessere identificative del personale
Table of Contents
Un'e-mail apparentemente innocente con intenzioni nascoste
Molti dipendenti sono abituati a ricevere aggiornamenti interni e richieste di informazioni dalle risorse umane via email. Ma un messaggio che circola – la cosiddetta email "Tessera identificativa del personale" – è tutt'altro che di routine. Questa email truffaldina si spaccia per una notifica ufficiale sull'aggiornamento o la creazione di nuove tessere identificative del personale. In apparenza, sembra legittima. Ma sotto sotto si cela un sistema di phishing ideato per rubare le credenziali di accesso alle email.
Come funziona la truffa
Il messaggio in genere chiede al destinatario di inviare i propri dati personali tramite un link fornito, spesso con il pretesto di aggiornare i dati della propria carta d'identità. Per creare un senso di urgenza, l'email include una scadenza per l'invio e sottolinea che i dati devono corrispondere alle informazioni in archivio. Il tono è professionale e la formattazione può rispecchiare la comunicazione interna aziendale, rendendo il messaggio più convincente.
Cliccando sul link, gli utenti vengono reindirizzati a un sito web falso che simula una pagina di accesso sicura. Lì, viene richiesto loro di digitare il proprio indirizzo email e la password per procedere. Tuttavia, questo sito è una trappola. Una volta inserite, le informazioni vengono trasmesse direttamente ai criminali informatici.
Ecco cosa dice il messaggio fraudolento:
Subject: Staff New ID Card Production - XXXXXXXX
Dear Colleagues,
Please use the below link to send in your details for the production of the new XXXXXXXX staff ID cards.
Download ID Card Here - XXXXXXXX / Staff-ID-Cards/d/e/1FAIpQLSezH84QFMPZa-X2hNH9kf_cxRA2sMrix5saRtlZ9_MXKWngsw/ViewformPDF
Please do the needful and submit accordingly as the Previous ID card in your possession will be invalid.
Kindly send all information on or before Tuesday 13th May 2025.
Thank You.
Best Regards...?
Cosa fanno i truffatori con le tue credenziali
Il furto delle credenziali di accesso può portare a molto più di una semplice compromissione della posta in arrivo. Una volta ottenuto l'accesso a un account email, gli aggressori possono analizzare i messaggi alla ricerca di dati sensibili, utilizzare l'account per impersonarne il proprietario o lanciare ulteriori truffe mirate ai contatti della vittima.
In alcuni casi, i truffatori utilizzano account compromessi per richiedere denaro ad amici e colleghi, diffondere link dannosi o promuovere schemi fraudolenti. Possono persino integrare malware nelle email inviate dall'account compromesso, sperando che i destinatari si fidino della fonte e aprano file o link dannosi.
Reti aziendali a rischio
Gli account di posta elettronica aziendali sono particolarmente appetibili per i truffatori. Una volta ottenuto l'accesso, i criminali potrebbero tentare di infiltrarsi nei sistemi organizzativi più ampi. Potrebbero distribuire malware come trojan, keylogger o ransomware, potenzialmente mettendo in crisi interi reparti o addirittura bloccandone le attività. Quando gli account relativi al settore finanziario vengono compromessi, gli aggressori potrebbero effettuare transazioni non autorizzate, effettuare acquisti fraudolenti o rubare risorse digitali.
Cosa fare se sei caduto nella truffa
Se hai inserito le tue credenziali su un sito sospetto, agisci immediatamente. Innanzitutto, cambia la password dell'account interessato. Quindi, aggiorna le credenziali di accesso di tutti gli altri account che utilizzano la stessa password. Contatta il tuo reparto IT o il team di supporto del fornitore di servizi il prima possibile per segnalare la violazione.
È inoltre consigliabile abilitare l'autenticazione a due fattori (2FA) ove possibile. Questo aggiunge un ulteriore livello di sicurezza che rende più difficile per gli aggressori ottenere il controllo completo, anche se conoscono la password.
Come riconoscere un'email di phishing
Mentre alcuni messaggi truffa sono pieni di errori di ortografia e grammatica, altri sono curati e sembrano autentici. Non affidarti solo all'apparenza. Controlla attentamente l'indirizzo del mittente. Se sembra strano, anche solo leggermente, potrebbe essere un campanello d'allarme. Fai attenzione a richieste inaspettate di informazioni personali, scadenze urgenti o richieste di accesso tramite link sconosciuti.
Prima di cliccare su qualsiasi link, passa il cursore del mouse sopra di esso (senza cliccare) per visualizzare l'URL effettivo. Se l'indirizzo web sembra sospetto o non correlato alla tua organizzazione, non procedere.
Rimani al sicuro
La chiave per evitare le truffe di phishing è la cautela. Trattate i messaggi indesiderati con scetticismo, soprattutto se richiedono credenziali di accesso o dati personali. Non aprite mai allegati o cliccate su link in email provenienti da mittenti sconosciuti. Anche quando un messaggio sembra provenire da qualcuno che conoscete, verificate attentamente che la richiesta non vi sembri insolita.
Non si tratta solo di email: fai attenzione ai messaggi sospetti sui social media, sulle app di messaggistica e sugli SMS. I criminali informatici utilizzano diverse piattaforme per attirare le vittime.
Scarica software e aggiornamenti solo da fonti ufficiali e affidabili. Evita software pirata o strumenti di aggiornamento di terze parti, spesso infestati da malware.
Considerazioni finali
La truffa della "Staff ID Card" è un chiaro esempio di quanto anche le email apparentemente di routine possano essere pericolose. Rimanere informati, usare cautela con le informazioni personali e agire rapidamente quando qualcosa non vi convince sono le migliori difese. La sicurezza informatica non richiede paranoia, ma solo consapevolezza.
