In questi giorni si osservano varie campagna di phishing in Italia in cui gli attaccanti utilizzano email e caller ID spoofing per falsificare l’identità del mittente, simulando chiamate o invii da mittente interni all’azienda o da enti governativi o istituti bancari.
In questi casi, non esiste alcuna compromissione dell’account mittente: si tratta di una falsificazione (impersonation) del numero di telefono o del campo “From” nell’header dell’email. Analizziamo tre casi accaduti in questi giorni in Italia.
#1 PDF e QR Code malevoli
In queste settimane molti dipendenti di aziende italiane stanno ricevendo comunicazioni malevole come e-mail apparentemente inviate da un indirizzo interno, contenente un allegato PDF o un QR code nel corpo del messaggio.
Il testo riporta comunicazioni come, ad esempio: “Riepilogo aggiornato dei bonus in busta paga”.
Scansionando il QR code si viene indirizzati a una pagina web potenzialmente malevola. Al momento l’URL porta a contenuti di spam, ma è verosimile che il sito riconosca il tipo di dispositivo usato (es. smartphone) per tentare:
- l’installazione di malware
- il reindirizzamento verso pagine di phishing personalizzate
- il furto di credenziali via form ingannevoli.
Analizzando nel dettaglio la metodologia di attacco, si tratta di:
- Email spoofing: l’header “From” viene artatamente configurato affinché sembri proveniente dall’utente bersaglio o da un account interno all’azienda, bypassando così i filtri spam tramite attacco social engineering interno. Nonostante l’implementazione di SPF/DKIM/DMARC su molti domini, le email possono comunque raggiungere la inbox degli utenti, specialmente su client mobile privi di sufficiente display cue.
- Drop-in PDF con QR Code: l’email include un allegato PDF contenente un QR code o ne presenta uno inline. Non vi sono ulteriori link o attachment, riducendo la possibilità di rilevamento automatico da parte dei filtri anti phishing.
- Redirect via QR: la scansione del codice indirizza l’utente a un URL potenzialmente malevolo. Nella maggior parte dei casi correnti, l’URL ospita contenuti di spam, ma è verosimile che, a seconda del device (smartphone vs desktop), venga attivato uno dei seguenti payload:
- Malware upload/install
- Pagina phishing con raccolta credenziali via form ingannevoli
- Attivazione di subdomini personalizzati riconosciuti in base alla geolocalizzazione o User-Agent.
#2 Spoofing telefonico
Un cittadino di Gallarate ha ricevuto una telefonata da un numero che sul display risulta essere quello della sua banca: Banca di Mantova. Dall’altra parte, un presunto operatore lo avvisa che c’è un bonifico sospetto in uscita dal suo conto: serve bloccarlo subito. Per farlo, viene suggerito di spostare i soldi, 49.000 euro, su un “conto sicuro”.
Non pagando, il truffatore insiste con una seconda chiamata: questa volta il numero mascherato è quello della Questura di Varese. L’obiettivo è uno solo: dare credibilità all’operazione e premere sulla vittima affinché esegua subito il trasferimento.
Fortunatamente, l’uomo contatta la polizia. Gli agenti del Commissariato di Gallarate gli forniscono assistenza in tempo reale durante la conversazione e riescono a bloccare il tentativo prima che sia troppo tardi.
Si tratta di un classico caso di Caller ID spoofing, una tecnica sempre più utilizzata dai cybercriminali: grazie a servizi VoIP facilmente reperibili online, è possibile far comparire sul display del destinatario un numero a scelta, spesso quello di una banca, un ente pubblico o addirittura le forze dell’ordine. Non si tratta di un episodio isolato: secondo la Polizia Postale, questo tipo di truffa è in aumento in tutto il Paese.
#3 WhatsApp Desktop
Come se non bastasse, in questi giorni è stata scoperta una vulnerabilità importante in WhatsApp Desktop per Windows, tracciata con il codice CVE‑2025‑30401.
Il problema riguarda la gestione degli allegati: WhatsApp visualizza il file in base al tipo MIME (es. immagine), ma Windows lo esegue in base all’estensione reale (es. .exe). In pratica, un file malevolo chiamato foto.jpg.exe può sembrare un innocuo scatto, ma all’apertura esegue codice arbitrario sul PC.
Non si tratta di un attacco “zero click”: la vittima deve comunque aprire manualmente il file. Tuttavia, l’interfaccia fuorviante e la fiducia che molti utenti ripongono nella piattaforma rappresentano una combinazione pericolosa, soprattutto in contesti lavorativi o su dispositivi condivisi.
Meta ha già rilasciato una patch nella versione 2.2450.6, risolvendo il problema. Ma il fatto che una vulnerabilità simile sia passata inosservata per mesi solleva interrogativi sulla sicurezza delle app di messaggistica, spesso date per scontate anche in ambiti sensibili.
Contromisure tecniche
Si consiglia fortemente di:
- Verificare con il reale mittente la comunicazione ricevuta
- Non aprire gli allegati o scansionare i QR code
- Non interagire in qualsiasi modo con l’email sospetta
- Implementare sistemi di monitoraggio e risposta attivi h24
- Aggiornare regolarmente i software
- Segnalare le comunicazioni sospette
- Sviluppare una cultura della sicurezza tramite formazione strutturata.
Se si è già interagito con il messaggio, è necessario agire con urgenza effettuando le seguenti operazioni di sicurezza:
- Reset delle sessioni attive
- Cambio password dell’account interessato
- Verifica e rimozione di regole sospette nella casella di posta (inbox rules)
- Attivazione della MFA (autenticazione a più fattori), se non già presente
- Controllo e rimozione di eventuali dispositivi sconosciuti autorizzati all’MFA
Filtro anti-spoofing
C’è una buona notizia: a partire dal 19 agosto 2025, entrerà in vigore in Italia il primo filtro automatico anti-spoofing obbligatorio, predisposto da AGCOM. Inizialmente valido per le numerazioni fisse, sarà esteso anche ai numeri mobili entro novembre.
Questo sistema impedirà che un numero italiano venga falsificato da chiamate provenienti dall’estero, bloccando in automatico quelle che risultano tecnicamente impossibili o sospette. È un primo passo, ma importante, verso un’azione coordinata a livello istituzionale.
In conclusione
L’evoluzione dello spoofing evidenzia la sua natura trasversale e sempre più sofisticata: dalle comunicazioni vocali alle applicazioni desktop, l’integrazione di tecniche sociali avanzate (come il phishing supportato da LLM) con vettori ibridi come email e QR code (quishing) lo rende spesso più efficace del phishing tradizionale.
Le campagne attuali sfruttano la fiducia nei codici QR e l’inefficacia dei filtri tradizionali nel rilevare contenuti embedded, con una diffusione rapida e mirata. Una difesa adeguata consente di evitare questi attacchi con soluzioni multilivello: monitoraggio continuo, controlli tecnici (SPF, DKIM, DMARC, QR detection), formazione degli utenti e protocolli di risposta immediata.
