Criminali intercettano password e dati con la scusa del Gdpr

Fingendosi interessati ai temi della privacy, colgono l’occasione per rubare un po’ di password e dati di carta di credito. L’avvicinarsi della scadenza del 25 maggio, data dalla quale si potranno applicare sanzioni per gli inadempienti al Gdpr, offre ai truffatori del Web l’occasione per agganciare all’amo del phishing nuove vittime. La società di sicurezza Redscan ha osservato e denunciato un’ondata di messaggi di posta elettronica che sfruttano, appunto, l’argomento del Gdpr, insieme a tecniche di social engineering con le quali il bersaglio viene studiato per poter confezionare messaggi più personalizzati e credibili.

Il primo caso scoperto da Redscan è stato un tentativo di raggiro via i email, i cui autori tentavano di spacciarsi per addetti al servizio clienti di Airbnb, usando un indirizzo terminante con “@mail.airbnb.work”. Nel messaggio si chiedeva all’utente di fornire alcuni dati personali per poter continuare a usufruire del servizio di prenotazione di bed&breakfast alla luce delle nuove regole del Gdpr. Nulla di vero, chiaramente.

Da altri mittenti e presunti mittenti in queste settimane stanno circolando ondate di email di analogo tenore, in cui si fa riferimento al nuovo regolamento europeo per ottenere dati personali senza i quali (così si tenta di far credere) l’utente verrebbe cancellato da una mailing list o da un servizio. Una volta compilati i campi vuoti con le informazioni richieste, per aggiornare la proprio (presunta) scheda all’utente viene richiesto di cliccare su un link; questa azione consente ai truffatori di ottenere i dati agognati oppure di diffondere dei malware.