La campagna di vishing continua: dal clone Poste alla finta email Google
A distanza di pochi giorni dalla precedente campagna che imitava comunicazioni di Poste Italiane e invitava gli utenti a contattare il numero 0686356057, i criminali tornano a colpire sfruttando esattamente lo stesso recapito telefonico. Cambia però il pretesto: questa volta l’email finge di provenire da Google e segnala una sospetta “nuova registrazione del dispositivo” sull’account Gmail della vittima.
Il contenuto dell’email
Il messaggio, costruito con uno stile che richiama i report tecnici generati automaticamente da sistemi CRM, include una serie di dati apparentemente plausibili come il modello del dispositivo, la versione di iOS, l’IMEI e la geolocalizzazione dell’indirizzo IP. Gli attori della minaccia sfruttano queste informazioni per generare un senso di urgenza e convincere l’utente a contattare immediatamente il numero indicato. È lo stesso impianto psicologico osservato nella precedente campagna: nessun link malevolo, nessun allegato, soltanto un invito a telefonare a un numero gestito dal gruppo criminale.
Perché questa tecnica è così efficace?
Questa modalità consente ai truffatori di aggirare i filtri antiphishing tradizionali e di portare la vittima su un canale più difficile da monitorare come la telefonata diretta. Una volta stabilito il contatto, la finalità dell’attacco diventa immediatamente chiara: ottenere l’accesso all’account Gmail della vittima. L’email costituisce infatti il fulcro dell’identità digitale dell’utente e rappresenta il punto più delicato dell’intero ecosistema dei servizi online.
Come funziona la frode?
Il controllo di una casella Gmail consente ai criminali di procedere al takeover di numerosi account attraverso la funzione di recupero password, a partire dai profili social fino ad arrivare agli account utilizzati sui principali marketplace. Con l’accesso ai servizi come Subito, Vinted o Wallapop è possibile pubblicare falsi annunci, interagire con potenziali acquirenti e realizzare truffe su larga scala. Se la vittima utilizza wallet crypto o servizi collegati al proprio indirizzo email, gli attaccanti possono tentare ulteriori compromissioni o sottrazioni di fondi. L’email rappresenta inoltre un archivio prezioso da cui estrarre documenti di identità, dati bancari o informazioni sensibili utili a compiere furti di identità, attivare finanziamenti a nome della vittima o disporre pagamenti illeciti tramite carte rilevate nei messaggi.
Il riutilizzo dello stesso numero telefonico della campagna precedente suggerisce una continuità operativa e conferma l’efficacia del metodo agli occhi dei truffatori. La scelta di simulare un alert di sicurezza relativo a un account Gmail amplia il potenziale bacino di vittime e aumenta le probabilità che il destinatario, spaventato dalla prospettiva di un accesso non autorizzato, decida di telefonare al numero indicato senza ulteriori verifiche.
La diffusione di campagne che uniscono phishing e vishing dimostra come l’ecosistema criminale stia affinando tecniche sempre più ibride per superare le barriere tecniche e spostare la manipolazione sul piano psicologico e relazionale. Anche in presenza di messaggi apparentemente credibili, è fondamentale evitare di contattare numeri riportati nelle email ricevute e utilizzare esclusivamente i canali di assistenza ufficiali dei servizi coinvolti.
Conclusioni
Questa nuova campagna conferma l’evoluzione continua delle tecniche di phishing, che si stanno adattando per aggirare i sistemi di sicurezza basati sull’analisi dei link e sull’automazione dei controlli. La combinazione di email prive di indicatori tipici e l’uso di numerazioni telefoniche rende questi attacchi più credibili e difficili da intercettare, richiedendo una maggiore attenzione da parte degli utenti.
D3Lab continuerà a monitorare l’evoluzione di questa campagna e a segnalare eventuali nuove numerazioni o varianti utilizzate. Informare gli utenti e diffondere consapevolezza rimangono strumenti fondamentali per ridurre l’efficacia di queste attività fraudolente.
