Vai al sito Mister Credit

IL BLOG DI
MISTER CREDIT

Sneaky phishing: la truffa che aggira la doppia autenticazione


Tempo di lettura stimato: 4 minuti

Letteralmente phishing “subdolo”, lo sneaky phishing è una tipologia di attacco particolarmente sofisticata e difficile da individuare, che tende ad avere come obiettivo degli account mirati, in particolare aziende o persone con grosse disponibilità finanziarie o un grosso seguito.

In questo articolo ti spieghiamo come funziona e come puoi evitare di abboccare all'esca.

Cos'è lo sneaky phishing

Il significato di sneaky phishing, come abbiamo detto poco sopra, è phishing subdolo, un nome che ne sottolinea la caratteristica più pericolosa: questo tipo di crimine informatico, infatti, è assolutamente in grado di ingannare una grossa fetta di utenti, inclusi quelli che utilizzano i mezzi digitali in modo consapevole.

La caratteristica principale dello sneaky phishing è la sua capacità di bypassare i sistemi di autenticazione a due fattori (2FA) che rappresentano una metodologia di protezione degli account particolarmente diffusa e in genere considerata sicura.

Ecco come ci riescono:

  • I criminali prendono di mira una specifica persona/azienda, e realizzano un'interfaccia del tutto simile a quella del servizio e-mail, dell'home banking o del social network del bersaglio che desiderano violare.
  • Quindi impostano un server che faccia da intermediario tra il bersaglio e loro stessi, trasmettendo informazioni da una parte all'altra.
  • A quel punto gettano l'esca. Questa può essere, ad esempio, un messaggio e-mail in cui al bersaglio viene chiesto con urgenza di accedere al suo account a causa del sopraggiungere di un problema, tramite un link incluso nel messaggio.
  • La vittima, ignara, clicca e viene indirizzata al sito fake. Qui, immette le sue credenziali, che vengono direttamente trasmesse al cybercriminale. Nel mentre, quest'ultimo si trova sul sito vero, di cui a quel punto possiede le credenziali.
  • Il sito legittimo a quel punto invia alla vittima un codice per l'autenticazione a due fattori. La vittima lo inserisce nel sito fake, che lo comunica al criminale.
  • Il criminale inserisce il codice nel sito reale, e a quel punto accede all'account e ne prende possesso.

Come puoi vedere, lo sneaky phishing richiede la presenza contemporanea della vittima e del cybercriminale per funzionare, e per questo non è una tipologia di attacco su larga scala. Al contrario, avrà dei bersagli precisi, individuati tra aziende o persone in grado di fruttare molto denaro.

La consapevolezza nei confronti di questi attacchi è dunque indispensabile per la cybersicurezza delle aziende, oltre che dei personaggi pubblici.

Come proteggersi dallo sneaky phishing

La protezione dallo sneaky phishing passa obbligatoriamente da un'adeguata formazione delle persone, ma può anche avvalersi di alcuni importanti strumenti tecnici. Ecco i nostri consigli:

  • Come sempre, prima di cliccare su un link contenuto in un indirizzo e-mail dobbiamo controllarne la provenienza. Si tratta di un mittente legittimo? O il nome assomiglia soltanto a quello del servizio da cui ci aspettiamo che provenga?
  • Lo stesso discorso vale anche per gli URL: siamo certi di trovarci sul nostro servizio di posta elettronica, home banking o social network? L'URL è corretto?
  • La formazione adeguata del personale e di chiunque abbia accesso ad account contenenti informazioni sensibili è di cruciale importanza per limitare il rischio che un attacco di sneaky phishing si riveli efficace.
  • Utilizzare una chiave fisica di sicurezza (quelle che vengono chiamate anche “passkey”) pone una barriera invalicabile a questi attacchi, dal momento che le informazioni non vengono semplicemente rilasciate a un sito fake, anche se vengono inserite le credenziali corrette.

Temi che i tuoi dati possano finire in mani sbagliate? Monitorali con SICURNET e ricevi un avviso immediato e una consulenza esperta se sono in pericolo. Per verificare, invece, i rischi informatici a cui la tua azienda è esposta, monitorare la circolazione sul dark web dei tuoi dati aziendali e tenere la situazione sotto controllo, c'è SICURNET BUSINESS!

 

MISTER CREDIT

Sempre al tuo fianco per tutelarti dal rischio di furto d’identità, proteggere la tua sicurezza online e valutare la tua affidabilità creditizia.

www.mistercredit.it

Privacy policy

Cookie policy

© Copyright 2025 CRIF S.p.A. All rights reserved: Via della Beverara, 21 • 40131 Bologna • Italia - Cap. Soc. € 51.796.545,00 i.v. • R.E.A. n° 410952 • Registro Imprese Bologna, C.F. e P.IVA 02083271201
Società soggetta all'attività di direzione e coordinamento di CRIBIS Holding S.r.l. - Società con unico socio

ARGOMENTI PRINCIPALI

SICUREZZA ONLINE FURTO D'IDENTITÀ PRIVACY SICURNET CREDITO DATI PERSONALI AFFIDABILITÀ CREDITIZIA METTINCONTO MUTUO IDENTITÀ DIGITALE TRUFFE ONLINE MISTER CREDIT FRODI CREDITIZIE PRESTITO SOCIAL NETWORK IDENTIKIT SOCIAL MEDIA SICUREZZA INFORMATICA SICUREZZA DIGITALE PHISHING PASSWORD SIC OSSERVATORIO CRIF CASA CREDITO AL CONSUMO CYBERBULLISMO SHOPPING REPUTAZIONE CREDITIZIA CYBERCRIMINALI SMARTPHONE CYBERCRIME AFFITTO FINANZIAMENTO

Cerca

Fai la tua ricerca sul sito