Gli hacker hanno una nuova truffa: email o WhatsApp che sembrano notifiche di messaggi vocali inviate dalle segreterie telefoniche. Scopri come funzionano e come proteggerti!

Il panorama della cybersecurity si evolve costantemente e a ritmi sempre più veloci, soprattutto da quando esiste l’intelligenza artificiale generativa. Ultimamente, gli hacker hanno trovato un nuovo modo di ingannare le persone con il phishing: finte notifiche via email o WhatsApp di messaggi vocali, inviate dalla segreteria telefonica.

Molte aziende e persone utilizzano questo servizio per sapere all’istante quando ricevono un messaggio in segreteria, magari da un cliente o da un familiare. I nuovi messaggi di phishing simulano queste notifiche per far abbassare la guardia alla vittima e convincerla a scaricare l’audio allegato, che invece è un malware.

In questo articolo vediamo la nuova truffa via email e WhatsApp basata su finte notifiche della segreteria telefonica, alcuni casi reali e come proteggersi. Buona lettura!


La truffa dei messaggi vocali funziona perché sembra provenire da un servizio usato quotidianamente dalle persone, soprattutto dalle aziende, che aprono i file senza controllarli.


Come funziona l’attacco

Supponiamo che tu abbia una segreteria telefonica in azienda o a casa e che sia connessa a internet. Puoi impostare un sistema di notifica che ti avvisa automaticamente quando qualcuno lascia un messaggio. La notifica include un file audio con il messaggio lasciato in segreteria. Ecco come gli hacker sfruttano questo servizio delle segreterie:

  1. Inviano un messaggio via email o WhatsApp simile alle notifiche delle segreterie.
  2. Il messaggio è credibile perché viene perfezionato grazie alla ricerca di informazioni online e alla personalizzazione (social engineering).
  3. La vittima riceve la notifica e vede che c’è un file allegato: a volte non si vede bene il formato del file perché il nome è molto lungo, altre volte si tratta di un file compresso, in modo che la persona non si renda conto che non è un vero file audio.
  4. La vittima scarica o apre l’allegato, che in realtà è un malware e inizia a contaminare il dispositivo, ad esempio aprendo una backdoor, installando uno spyware per rubare dati di accesso agli account online o un ransomware, per crittografare i dati e chiedere un riscatto.

La chiave dell’efficacia di questo attacco è che sembra provenire da un servizio legittimo, usato quotidianamente dalla vittima e che, soprattutto nel caso delle imprese, gli utenti sono abituati a usare senza fare molta attenzione, in modo quasi automatico.

In altri casi, vale la pena ricordarlo, il phishing può fare leva anche sulla curiosità, sull’urgenza o sulla paura della vittima, inducendola ad aprire un file o seguire un link per vedere di cosa si tratta.

LEGGI ANCHE: Pagamenti ransomware da record, oltre 1 miliardo di euro nel 2023

Casi reali

Tra i casi più famosi, ricordiamo una serie di attacchi di phishing in Russia, con cui i cybercriminali fingevano di essere i responsabili del servizio di assistenza stradale e inviano false comunicazioni via WhatsApp con un presunto file audio allegato da ascoltare. Le vittime aprivano il file pensando di ascoltare l’audio con gli aggiornamenti sul traffico, e invece finivano su un sito fraudolento che, dopo aver ricevuto il comando Consenti nel browser, installava un malware sul dispositivo.

Un altro esempio di questa tecnica di attacco informatico è Cerber, un ransomware distribuito nel 2016 come allegato di un’email che teoricamente comunicava agli utenti la presenza di un nuovo messaggio vocale da ascoltare.

Il file sembrava effettivamente un .wav, ovvero un file audio, ma in realtà era un file compresso contenente il ransomware, che una volta aperto si installava sul computer e crittografava tutti i dati, per poi chiedere un riscatto in cambio della chiave di crittografia.

L’impatto di quest’ultimo attacco è stato notevole, in parte perché la campagna era ben congeniata e i cybercriminali sono riusciti a ingannare molte vittime, e in parte perché i pagamenti richiesti erano molto alti: 1-2 Bitcoin.

Questi sono due esempi di come gli hacker sfruttano le notifiche dei messaggi vocali per indurre le vittime ad aprire allegati o fare clic su link fraudolenti, ma esistono molte altre tattiche di attacco simili, con piccole variazioni e personalizzazioni che rendono gli attacchi più difficili da riconoscere e quindi più efficaci.


Sia che tu sia un privato o che tu gestisca una piccola azienda, la chiave della cybersecurity è l’informazione: bisogna stare al passo con l’evoluzione delle minacce informatiche e del cybercrimine.


Come proteggersi dal phishing dei finti messaggi vocali

Ecco alcuni consigli pratici per proteggerti dalle truffe via email e WhatsApp:

  • Non aprire allegati sospetti e di messaggi provenienti da mittenti sconosciuti.
  • Se ricevi un SMS, un’email o un messaggio di WhatsApp con un messaggio vocale allegato, controlla che sia autentico prima di ascoltarlo.
  • Usa un antivirus sempre aggiornato, in modo che possa riconoscere anche le minacce più recenti.
  • Informati sulla sicurezza informatica: rimani al corrente delle ultime minacce e novità di cybersecurity e segui un corso online di cybersecurity.
  • Usa l’autenticazione a 2 fattori. La maggior parte degli attacchi di phishing hanno come obiettivo finale le credenziali di accesso ai tuoi account online, per cui un’altra cosa importantissima da fare è proteggere questi account nel modo migliore possibile: password complesse, uniche e autenticazione multifattoriale, idealmente password + metodo biometrico, come impronte digitali o riconoscimento facciale.

Questi consigli valgono per tutti, indipendentemente dall’uso che fai di internet o dalla criticità dei dati che salvi sui tuoi dispositivi. Se, inoltre, hai una piccola azienda, di seguito ti diamo qualche consiglio in più, specifico per le PMI.

Consigli di sicurezza per le piccole imprese

Se hai una piccola azienda e utilizzi le notifiche via email o WhatsApp dei messaggi in segreteria, o anche se vuoi semplicemente proteggere la tua azienda dal phishing, segui questi consigli:

  1. Investi in una consulenza di sicurezza informatica per piccole aziende.
  2. Crea delle norme di sicurezza interne, soprattutto riguardo al phishing, ad esempio “controllare il mittente e il design delle notifiche di messaggi vocali prima di fare clic sull’allegato”, “aggiornare i backup locali una volta a settimana” o “Non utilizzare mai la stessa password e usare un password manager”.
  3. Organizza corsi di formazione brevi e mirati, in particolare sul phishing e le truffe online.
  4. Fai delle simulazioni di phishing. Metti in pratica la teoria per simulare un attacco di phishing, vedere come ve la cavate e quali sono gli aspetti da migliorare.
  5. Valuta la possibilità di investire in una soluzione di cybersicurezza avanzata, pensata espressamente per le aziende.

In particolare, ricordati che la chiave della cybersecurity è l’informazione: bisogna conoscere le tecniche dei cybercriminali e gli strumenti di sicurezza da usare per difendersi.

In questo post abbiamo visto una nuova tipologia di attacco di phishing che sfrutta le notifiche dei messaggi vocali in segreteria per indurre le vittime a scaricare malware o visitare siti infetti. Infine, abbiamo condiviso alcuni consigli per proteggersi dal phishing, in particolare dalle truffe via email e WhatsApp, sottolineando l’importanza della formazione continua in cybersicurezza per non farsi cogliere impreparati dai cybercriminali.

CONTINUA A LEGGERE: Sondaggio di cybersecurity, italiani primi in Europa per controllo dei figli online

Buona navigazione e buona protezione dalle truffe dei messaggi vocali!