Sotto la superficie: truffa tramite email di notifica dei messaggi di LinkedIn
Table of Contents
Non è quello che sembra
La truffa "LinkedIn Message Notification" è un tentativo di phishing ingannevole mascherato da opportunità professionale. Arriva via email ed è strutturato in modo da assomigliare a un messaggio ufficiale di LinkedIn, la nota piattaforma per il networking professionale. L'oggetto di solito allude a una richiesta di lavoro, come una richiesta di acquisto di prodotti dall'azienda del destinatario, suscitando curiosità e urgenza.
Tuttavia, nonostante l'aspetto raffinato, questa email non ha alcuna affiliazione con LinkedIn o con alcuna azienda legittima. Si tratta piuttosto di una trappola abilmente congegnata per rubare credenziali di accesso sensibili tramite una pagina di accesso email falsa.
Cosa succede quando fai clic
Nel corpo del messaggio falso, agli utenti viene chiesto di controllare un presunto messaggio LinkedIn cliccando su un link. Tale link, tuttavia, non indirizza a LinkedIn. Apre invece una pagina di phishing che imita una schermata di accesso a un'email. La pagina potrebbe persino mostrare il marchio di servizi come Zoho per mascherare ulteriormente la sua natura fraudolenta.
Una volta inserite le proprie credenziali, le informazioni vengono immediatamente inviate ai truffatori. Avendo accesso alla posta in arrivo, questi aggressori possono accedere alle email archiviate, reimpostare le password degli account collegati e sfruttare la tua identità in vari modi.
Ecco cosa dice il messaggio fraudolento:
Subject: XXXXXXX - New Message Notification
LinkedIn New Message Notification
Dear Sir/Ma'am,
you've got a message from German Skillet Int'l (Contact Us), details as below:Sender Name Mr Eduardo
Receiver Email XXXXXXX
whatsapp +34 56** 32** ****
Message Good day,Would like to know more about your product and also your payment terms.
Can you ship to Spain for some urgent trial order?
IP: 85.136.16.76
Country/Region: Spain
Reply Immediately
Oltre la posta in arrivo: una cascata di conseguenze
Gli account di posta elettronica spesso fungono da gateway per una serie di servizi personali e professionali. Una volta ottenuto l'accesso, un truffatore può cambiare rapidamente strategia, prendendo di mira profili di social media, servizi di cloud storage, servizi di online banking e altro ancora. Potrebbe impersonare la vittima per chiedere denaro, promuovere truffe o diffondere malware attraverso messaggi convincenti.
I rischi non finiscono qui. Gli account rubati e collegati a piattaforme finanziarie possono essere utilizzati per effettuare acquisti non autorizzati o avviare trasferimenti di denaro. Nel giro di pochi minuti, un singolo errore può causare danni estesi a diversi servizi.
Come questa truffa si adatta a uno schema più ampio
L'email di notifica dei messaggi LinkedIn è solo un esempio di una lunga serie di truffe di phishing. Altre potrebbero pretendere di offrire rimborsi, avvisare gli utenti di problemi di sicurezza dell'account o annunciare premi o eredità inaspettati. Ciò che accomuna tutte è una strategia basata sull'inganno: creare urgenza o opportunità, per poi indurre gli utenti a rivelare informazioni sensibili.
Sebbene i dettagli cambino da una campagna all'altra, l'obiettivo di fondo è sempre lo stesso: ottenere l'accesso, sfruttare la vittima e procedere prima che la violazione venga rilevata.
Come i truffatori mettono in atto i loro inganni
Queste truffe vengono solitamente diffuse tramite email di spam, ma non si limitano alla posta in arrivo. Link di phishing simili si trovano nei messaggi sui social media, nei messaggi diretti sui forum e persino nei messaggi di testo (SMS). Le email vengono spesso generate in massa e distribuite tramite server compromessi o reti pubblicitarie non autorizzate.
Più l'email o il messaggio è convincente, maggiori sono le probabilità di successo. I truffatori spesso imitano il tono, il layout e il branding di aziende affidabili per abbassare la guardia degli utenti.
Malware e phishing: un duo pericoloso
Le truffe di phishing sono strettamente legate alla distribuzione di malware. Spesso, le email di spam contengono allegati o link che, una volta aperti, innescano infezioni. Questi allegati possono essere camuffati da fatture, report o altri documenti aziendali in formati come PDF, DOCX, ZIP o persino file eseguibili.
In alcuni casi, gli utenti devono abilitare macro o cliccare su link incorporati per attivare il malware, aggiungendo un ulteriore livello di inganno. In caso di successo, il malware potrebbe rubare dati, installare spyware o aprire una backdoor per ulteriori attacchi.
Le migliori pratiche per rimanere al sicuro
Per evitare truffe come l'email di phishing con notifica dei messaggi di LinkedIn, è necessario un mix di vigilanza e una buona igiene digitale. Ecco alcune semplici pratiche per proteggere i tuoi account:
- Verifica il mittente prima di cliccare su qualsiasi link. I messaggi ufficiali di LinkedIn provengono da domini attendibili.
- Passa il mouse sui link per verificarne la vera destinazione: se non corrisponde al dominio di LinkedIn, non cliccare.
- Utilizza l'autenticazione a due fattori (2FA) su tutti gli account importanti. Anche in caso di furto delle credenziali, la 2FA aggiunge un ulteriore livello di protezione.
- Siate scettici nei confronti dei messaggi urgenti o inaspettati , in particolare quelli che vi chiedono di effettuare l'accesso, reimpostare una password o visualizzare informazioni riservate.
- Scaricare allegati o software solo da fonti note e affidabili.
Considerazioni finali
La truffa delle "Notifiche tramite messaggio LinkedIn" ci ricorda quanto facilmente la fiducia possa essere manipolata in un mondo digitale. Questi attacchi non si basano su attacchi informatici complessi, ma sfruttano la natura umana: curiosità, ambizione e routine.
Rimanere informati e prudenti è il modo più efficace per superare le truffe di phishing. Mettendo in discussione messaggi non familiari e prendendosi il tempo di verificare prima di cliccare, si crea una barriera tra le proprie informazioni e chi cerca di rubarle. In fin dei conti, la sicurezza digitale inizia dalla consapevolezza.
