Il picco si è verificato a inizio anno, per poi scendere e ricominciare a salire nei giorni scorsi.
I cybercriminali che stanno approfittando dell’attenzione del pubblico sull'argomento usano diverse tattiche per attirare l’attenzione delle vittime. Alcune delle più usate sono:
– offerta di test Covid e di altre forniture sanitarie come mascherine e guanti;
– false notifiche di mancato pagamento di test Covid: un account PayPal a cui inviare il pagamento per completare l’acquisto di test rapidi, facendo affidamento sulla preoccupazione delle vittime;
– imitazione di laboratori, produttori di test o dipendenti di aziende che condividono falsi risultati dei test.
L’Office of Inspector General del Department of Health and Human Services degli USA, agli inizi dell’anno, ha allertato i cittadini rispetto al crescente numero di schemi fraudolenti associati al Covid e ai relativi test. In particolare, vendere test fai da te in cambio di informazioni personali o sanitarie.
Molte organizzazioni, al momento di tornare in ufficio, spediscono mail con l’aggiornamento delle policy o la richiesta di informazioni sullo stato vaccinale. Gli hacker cercano di inserirsi in queste conversazioni.
Come comportarsi?
– dubitare di tutte le mail con oggetto legato al Covid: alcune offrono acquisto di test, informazioni sui luoghi in cui sono disponibili o condividono i risultati dei test. Mai aprire link o allegati di mail;
– usare l’intelligenza artificiale: è importante avere tecnologia ad hoc in grado di individuare brand impersonation, business email compromise, email account takeover, come quella di machine learning per l’analisi dei modelli di comunicazione standard all’interno dell’organizzazione;
– utilizzare protezioni contro l’account takeover: con l’AI capire quando un account è stato compromesso, avvisando l’utente e rimuovendo le mail spedite dallo stesso;
– insegnare al personale come riconoscere e riferire gli attacchi con sessioni di formazione periodiche, usando tecniche di simulazione per mail, voicemail e sms;
– definire e rivedere periodicamente le policy per garantire che informazioni finanziarie e personali siano gestite in modo appropriato, creando linee guida e procedure idonee per tutte le richieste di pagamenti che provengono via mail.
