L’attività di phishing legata al periodo annuale di vendita è aumentata drasticamente, secondo nuove scoperte da KnowBe4 Threat Labs . L’azienda ha esaminato 27.061 email di phishing collegate al Black Friday e ha riportato chiari segnali che gli attori minacciosi hanno preparato le loro campagne prima del previsto. Il primo aumento significativo è apparso il 1° novembre, quando le email legate al Black Friday hanno raggiunto circa l’8% di tutti i messaggi raccolti per lo studio. Sebbene il livello sia sceso dopo il salto iniziale, è rimasto superiore al normale per tutta la prima metà di novembre, con una media compresa tra il 4% e il 5%. La tendenza suggerisce un approccio a ritmo determinato piuttosto che un singolo scatto di attività. Il modello mostra anche che gli attaccanti si concentrano sugli utenti che iniziano a cercare sconti anticipati prima dell’inizio delle promozioni ufficiali.
I ricercatori di KnowBe4 hanno osservato che il contenuto delle email di phishing seguiva temi prevedibili. Molti messaggi si basavano su promissioni di grandi sconti o offerte a tempo limitate, pensate per spingere gli acquirenti verso pagine false. I ricercatori hanno affermato che gli attori minacciosi cercano di raggiungere i consumatori prima che i rivenditori legittimi inizino a pubblicizzare grandi vendite. L’attività iniziale dà ai criminali più tempo per perfezionare i modelli, ruotare i domini, testare i formati dei messaggi e adattarsi ai sistemi di filtraggio. L’obiettivo è garantire che i siti fraudolenti rimangano attivi durante il picco dello shopping online, quando le vittime sono meno propense a esaminare i link.
Attività iniziale e modelli regionali
L’analisi ha mostrato che l’84% delle email legate al Black Friday si spacciava per un noto sito di tracciamento delle offerte piuttosto che un rivenditore specifico. Tra le campagne che hanno spoofeato singole aziende, Amazon è apparsa nel 52% dei casi e Costco nel 13%. La selezione dei marchi target variava a seconda del paese. In Francia e nel mercato del Benelux, l’attività di phishing è iniziata intorno al 1-3 novembre. Negli Stati Uniti, in Germania e nei Paesi Bassi, le campagne iniziarono tra il 5 e il 12 novembre. Nel Regno Unito e in Sudafrica, le email spesso affermavano di provenire da Amazon. In Francia e nella regione del Benelux, Lidl era un bersaglio frequente per l’impersonificazione. In Germania, la maggior parte delle attività di phishing legate al retail si è spacciata per IKEA. Queste variazioni riflettono le abitudini di acquisto e la familiarità con il marchio dei consumatori in ogni regione, che gli aggressori sembrano studiare attentamente nella costruzione dei loro messaggi.
I ricercatori hanno osservato che i criminali investono sempre più nella qualità di siti di vendita falsi collegati alle email di phishing. I siti ora spesso rispecchiano la disposizione e il branding dei grandi rivenditori con maggiore accuratezza rispetto agli anni precedenti. Molti includono funzionalità dinamiche come timer di conto alla rovescia o widget di assistenza clienti che imitano funzioni legittime. KnowBe4 ha dichiarato che i recenti strumenti generativi permettono ai criminali di creare interfacce pulite e visivamente convincenti che riducono i sospetti tra i clienti affrettati.
Tecniche di vetrina finte e rischi continui
I criminali non si concentrano più solo sul furto rapido di piccoli pagamenti. Al contrario, molte campagne mirano a catturare l’accesso agli account o le credenziali di pagamento che possano generare profitti a lungo termine. Alcuni siti richiedono i dati di accesso legati agli account dei rivenditori, mentre altri chiedono alle vittime di inserire tutte le informazioni complete della carta di pagamento prima di mostrare un messaggio di errore che afferma che l’acquisto non è stato effettuato.
I ricercatori hanno inoltre evidenziato il ruolo delle pubblicità a pagamento nel indirizzare gli utenti verso questi siti. Le pubblicità fraudolente pubblicate su piattaforme come Instagram e Facebook somigliano a promozioni autentiche e sono spesso rivolte a un pubblico che in precedenza ha consultato articoli simili. Questo metodo aumenta la probabilità che le vittime clicchino senza mettere in discussione la fonte. Una volta sulla pagina falsa, l’utente si trova di fronte a un layout che corrisponde molto a quello del sito legittimo, riducendo così la probabilità di individuare incongruenze.
KnowBe4 ha consigliato agli acquirenti di avvicinarsi con cautela ai link non richiesti durante tutto il periodo di vendita. Controlli semplici, come confermare il nome di dominio, visitare direttamente i rivenditori ed evitare sconti insolitamente profondi, possono ridurre il rischio. Gli acquirenti dovrebbero rimanere attenti anche quando le offerte appaiono interessanti ed evitare di effettuare acquisti su pagine che richiedono informazioni personali normalmente non richieste.