Attenzione alle truffe di phishing della regina Elisabetta II, avverte Kaspersky

Ai criminali informatici non piace mai lasciare che una crisi vada sprecata. Mentre le persone in tutto il mondo sono ancora in lutto per la morte della regina Elisabetta II, gli attori delle minacce stanno cogliendo l’opportunità per sfruttare la compassione di utenti ignari.

Oggi, i ricercatori di Kaspersky hanno avvertito di un aumento delle truffe legate alla morte della regina, scoprendo diversi progetti di investimento, offrendo agli utenti token crittografici e persino NFT intitolati al monarca, in cambio di “rendere omaggio a sua maestà”.

I ricercatori hanno anche notato che gli utenti potevano acquistare monete commemorative e magliette da siti Web di nuova creazione, lasciando i nomi utente, gli indirizzi e i dati delle carte dei consumatori non protetti.

L’emergere di nuove truffe sulla morte della regina Elisabetta II evidenzia che la formazione sulla sensibilizzazione alla sicurezza è fondamentale per garantire che i dipendenti possano evitare di essere indotti con l’inganno a gestire informazioni personali.

Lo stato delle truffe di phishing della regina Elisabetta II

Kaspersky non è l’unica organizzazione ad anticipare un picco di truffe sulla morte del monarca.

Proprio la scorsa settimana, il National Cyber ​​Security Center del Regno Unito (NCSC) ha avvertito che “come per tutti i grandi eventi, i criminali potrebbero cercare di sfruttare la morte di Sua Maestà la Regina per il proprio tornaconto”, e ha avvertito gli utenti di prestare attenzione alle e-mail e ai messaggi SMS.

Quella stessa settimana, Bitdefender notato che il 12 settembre c’è stata un’ondata di messaggi fraudolenti volti a sigillare le credenziali di accesso di Microsoft cercando di indurre gli utenti a costruire una “scheda di memoria AI”, in onore della regina. Fare clic sul collegamento porterebbe l’utente a una pagina di destinazione Microsoft falsa per raccogliere le proprie credenziali.

È importante notare che queste truffe si verificano in qualsiasi momento della tragedia, con uno degli esempi più importanti di ciò che si verifica durante il culmine della pandemia di COVID-19, dove incidenti di phishing aumentato del 220%.

Queste ultime truffe scoperte da Kaspersky e Bitdefender cercano di sfruttare la compassione di utenti ignari.

“Quando acquisti da tali siti, ricorda che molti di essi non sono sicuri ed è probabile che i dati inseriti in tali pagine siano a rischio di perdita, quindi ricorda di utilizzare una soluzione solida e sicura per proteggerti”, ha affermato Olga Svistunova, esperto di sicurezza presso Kaspersky. “Scegli anche di acquistare solo negozi di fiducia e diffida dei prezzi super bassi delle merci: può essere utilizzato dai criminali informatici come esca per ottenere i tuoi dettagli di pagamento”.

Phishing: il vero rischio per le imprese

Sebbene molte di queste truffe siano incentrate sui consumatori, creano anche rischi sostanziali per le imprese.

Ad esempio, se un dipendente tenta di acquistare beni su un sito Web di phishing tramite un account personale, potrebbe consegnare dati e credenziali di accesso che l’attaccante potrebbe quindi riutilizzare per violare i sistemi interni della propria organizzazione.

Quando basta una sola credenziale di accesso per causare una violazione devastante, i pericoli di queste truffe non possono permettersi di essere trascurati.

In nessun luogo il pericolo del phishing e dell’ingegneria sociale è illustrato più chiaramente che nel caso della violazione dei dati di Uber la scorsa settimana, in cui un hacker di 18 anni ha impersonato il personale di supporto IT per indurre un dipendente a condividere le proprie credenziali di accesso per ottenere l’accesso al Slack e sistemi interni dell’organizzazione.

Come le imprese possono fermare l’ingegneria sociale

Questi tipi di truffe di phishing non saranno gli ultimi, il che significa che i team di sicurezza devono svolgere un ruolo attivo nella formazione continua dei dipendenti sulle truffe di phishing emergenti.

In pratica, ciò non significa solo fornire l’accesso a test di simulazione di phishing, per testare la loro capacità di rilevare e-mail di phishing, ma inviare regolari campagne di comunicazione informandoli delle nuove truffe di phishing ed elencando le migliori pratiche che possono utilizzare per proteggersi dagli attori delle minacce .

Nell’ambito di queste best practice, è una buona idea consigliare ai dipendenti che utilizzano dispositivi personali di acquistare solo beni fisici e contenuti digitali da fornitori di fiducia.

Inoltre, Kaspersky consiglia agli utenti di ricontrollare l’URL dei negozi visitati per verificare che l’URL inizi con HTTPS e HTTP, per indicare che la connessione è crittografata. Gli utenti possono anche abilitare una VPN per garantire che il loro traffico sia crittografato quando visitano i siti online.

È anche una buona idea creare un processo di segnalazione di phishing, che chiarisca in che modo i dipendenti possono segnalare e-mail sospette di truffa al reparto IT e ad altre organizzazioni esterne come la Federal Trade Commission (FTC)