Lo sneaky phishing, letteralmente “phishing subdolo”, è una forma particolarmente sofisticata e insidiosa di attacco informatico. A differenza delle comuni truffe via email, spesso facilmente identificabili, questa tecnica sfrutta messaggi e comunicazioni quasi indistinguibili da quelle autentiche, ingannando anche gli utenti più attenti e i sistemi di sicurezza che spesso consideriamo sicuri.
Questa strategia include email ben costruite, siti web falsi che imitano alla perfezione quelli reali, e persino metodi per intercettare i codici di verifica SMS utilizzati nella doppia autenticazione (2FA). Il risultato è un attacco mirato, spesso diretto a individui o organizzazioni specifiche, capace di compromettere anche gli account apparentemente più protetti.
Dalla 2FA all’MFA: le nuove frontiere della sicurezza
I sistemi di autenticazione a due fattori continuano a rappresentare un baluardo importante per la protezione degli account online. Tuttavia, l’utilizzo degli SMS per ricevere i codici di accesso si sta rivelando sempre più vulnerabile. Attacchi recenti hanno evidenziato come i cybercriminali riescano a intercettare questi messaggi o addirittura clonare le SIM per accedere ai dati delle vittime.
Secondo esperti come Raphael Vallazza (Endian) e Fabrizio Croce (WatchGuard Technologies), l’uso di token fisici (come FIDO U2F o FIDO2) e sistemi di autenticazione multifattore (MFA) rappresentano soluzioni più robuste. Questi strumenti aggiungono un ulteriore livello di sicurezza, basato su:
- qualcosa che si possiede (token);
- qualcosa che si conosce (password);
- qualcosa che si è (biometria).
L’MFA, dunque, se implementato correttamente, può offrire protezione anche contro sofisticati attacchi man-in-the-middle.
Andrea Muzzi (F-Secure) sottolinea l’importanza di rimanere dinamici nella nostra difesa: ciò che era sicuro ieri potrebbe non esserlo oggi. L’utente resta il bersaglio preferito dei criminali informatici, e strumenti classici come il phishing continuano a mietere vittime, complici la distrazione e la frenesia della vita quotidiana.
Cosa fare per proteggersi
Per proteggersi Muzzi consiglia alcune semplici ma efficaci pratiche:
- Verificare sempre la legittimità di email sospette prima di eseguire azioni richieste.
- Disattivare il caricamento automatico delle immagini nelle email.
- Usare solo app provenienti da store ufficiali per la gestione dell’autenticazione.
- Considerare l’uso di token fisici per una maggiore protezione.