Negli ultimi mesi le campagne di phishing stanno evolvendo e sempre più spesso sfruttano file PDF come vettori di attacco per impersonare brand noti come Microsoft, DocuSign, NortonLifeLock, PayPal e Geek Squad. Queste email fraudolente inducono le vittime a chiamare numeri di telefono controllati dagli attaccanti, una tecnica nota come TOAD (Telephone-Oriented Attack Delivery) o callback phishing. I cybercriminali sfruttano così la fiducia che gli utenti ripongono nei brand famosi e nel canale telefonico per ottenere dati sensibili o installare malware sui dispositivi delle vittime.

Analisi delle tecniche di attacco

L’analisi di queste campagne ha rivelato che i file PDF allegati alle email spesso contengono loghi ufficiali e link malevoli, oppure includono QR code che rimandano a pagine di login false, come quelle di Microsoft 365 o Dropbox. I truffatori sfruttano anche le annotazioni PDF per nascondere gli URL all’interno di note adesive o campi modulo, rendendo il tentativo di phishing più difficile da individuare. La presenza di QR code che rimandano a siti web legittimi aumenta ulteriormente la credibilità dei messaggi.

Modalità operative degli attaccanti

Durante le chiamate telefoniche, gli attaccanti si fingono operatori di assistenza clienti, utilizzando script professionali, “musica d’attesa” e numeri VoIP per rimanere anonimi e rendere l’esperienza quanto più simile a una vera assistenza. In questo modo, riescono a convincere le vittime a condividere informazioni riservate o a scaricare software pericolosi come trojan bancari o programmi di accesso remoto. Spesso la chiave del successo di queste truffe risiede nella capacità degli attaccanti di simulare procedure di supporto reali e di creare un senso di urgenza.

Nuove tecniche di spoofing

Parallelamente, emergono anche nuove tecniche di spoofing che sfruttano funzionalità di invio diretto di Microsoft 365. Queste consentono di inviare email dal dominio dell’azienda senza compromettere account reali, aggirando così i controlli standard e aumentando la probabilità che i destinatari cadano nella trappola.

Ruolo dell’intelligenza artificiale nei nuovi rischi

Ulteriore elemento di rischio è rappresentato dall’uso dell’intelligenza artificiale. Chatbot e assistenti AI possono suggerire link di login a siti non ufficiali o a domini non registrati, facilitando così attacchi di impersonificazione. I criminali stanno anche cercando di manipolare i risultati dei motori di ricerca tramite marketplace illegali che iniettano codice dannoso in siti compromessi, migliorando la visibilità delle pagine di phishing.

In un panorama dove la brand impersonation resta una delle tecniche di social engineering più diffuse, diventa fondamentale implementare sistemi di rilevamento avanzati e sensibilizzare gli utenti sulle nuove strategie di phishing che sfruttano PDF, QR code e canali telefonici.