Le notifiche di violazione dei dati sono così frequenti che molti le aprono senza pensarci. È su questo automatismo che puntano i truffatori.
Autore: Redazione SecurityOpenLab
Molti utenti hanno imparato a convivere con le notifiche di breach: solo negli Stati Uniti nel 2025 sono state segnalate 3.322 violazioni di dati, con quasi 280 milioni di notifiche inviate alle vittime via email. In Europa le segnalazioni giornaliere sono cresciute del 22% rispetto all'anno precedente, raggiungendo una media di 443 al giorno. È proprio su questa assuefazione che i truffatori hanno costruito una nuova categoria di attacco, indagata dagli esperti di ESET.
Usando il tipico approccio opportunistico, gli attaccanti aspettano che avvenga una violazione reale e sfruttano la notizia per inviare notifiche false, contando sul fatto che le vittime si aspettano di ricevere comunicazioni dall'azienda coinvolta, quindi sono propense a crederci. In mancanza di una violazione vera, i truffatori inventano un breach inesistente e costruiscono una notifica falsa, spacciandola come proveniente da un brand noto e credibile. In entrambi i casi, l'obiettivo finale è indurre la vittima a cliccare su un link malevolo o aprire un allegato, con conseguente installazione di malware infostealer, oppure convincerla a cedere dati personali, finanziari o credenziali di accesso.
A rendere queste truffe sempre più difficili da riconoscere contribuisce l'AI generativa. I criminali usano strumenti di AI e kit di phishing per automatizzare la creazione di notifiche false, replicandone il tono, il linguaggio e persino il layout grafico con loghi e branding dell'azienda impersonata, in lingue locali perfette. Tutto questo può essere fatto in pochi minuti per inviare ingenti quantità di notifiche false subito dopo che una violazione reale è diventata notizia.
ESET individua alcuni segnali d'allarme ricorrenti. Il primo è l'urgenza: con la più classica delle tecniche di ingegneria sociale, gli attaccanti cercano di spingere la vittima ad agire in fretta, sostenendo che i suoi dati sono a rischio se non aggiorna immediatamente la password o non conferma le proprie informazioni personali. Come noto, è una pressione temporale progettata per cortocircuitare il ragionamento critico.
Il secondo segnale riguarda il mittente: i truffatori tentano spesso di falsificare l'indirizzo email per farlo sembrare proveniente dall'organizzazione impersonata. Conviene controllare eventuali errori ortografici nel nome del mittente e passare il cursore sopra l'indirizzo per vedere il dominio reale, che spesso non ha nulla a che fare con l'azienda dichiarata.
Un terzo elemento utile, anche se meno affidabile rispetto al passato, è la qualità del testo: errori grammaticali e ortografici erano un indicatore classico di phishing, ma con la diffusione dell'AI generativa tra i criminali questa traccia è sempre meno affidabile. Rimane comunque un primo controllo da effettuare.
Il quarto segnale è forse il più sottovalutato: la vaghezza. Una notifica legittima da parte di un'azienda che ha subìto una violazione include di norma alcuni dati personali della vittima, come il nome utente o il numero di account. I truffatori non dispongono di queste informazioni, quindi le loro comunicazioni risultano generiche e prive di dettagli specifici. Se una notifica non sa chi sei, probabilmente non viene da chi dice di essere.
Per difendersi, la regola fondamentale è non agire d'impulso, verificare direttamente con la fonte e accedere al proprio account tramite il sito ufficiale dell'azienda, oppure contattarla telefonicamente. Servizi come HaveIBeenPwned.com permettono di verificare in modo indipendente se i propri dati siano stati effettivamente compromessi in una violazione documentata.
Sul piano preventivo, l'uso di password uniche per ogni servizio (gestite tramite un password manager) combinato con l'autenticazione a più fattori riduce drasticamente il danno anche nel caso in cui le credenziali vengano effettivamente sottratte: i criminali avranno la password, ma non riusciranno comunque ad accedere all'account.
Se, nonostante tutto, avete abboccato, bisogna cambiare tutte le password condivise con i truffatori, su tutti i siti in cui vengono utilizzate. Vanno poi attivate le autenticazioni a più fattori sugli account sensibili, eseguita una scansione antimalware e, se sono stati condivisi dati finanziari, contattare immediatamente la propria banca per bloccare le carte. Infine, va monitorato il proprio conto per individuare movimenti sospetti e segnalato l'accaduto alla Polizia Postale.