Ti è arrivata un’email sospetta con un PDF allegato e dentro un numero da chiamare per il “supporto tecnico”? Probabilmente sei il bersaglio dell’ultima versione di un sofisticato attacco di phishing. Secondo Cisco Talos (che monitora queste minacce), c’è una nuova ondata di truffe via PDF che stanno colpendo le caselle di posta proprio in questo periodo, e lo stratagemma è più convincente che mai.
Tra inizio maggio e inizio giugno 2025, i ricercatori hanno registrato un netto aumento di phishing camuffato da notifiche di aziende affidabili come Microsoft, Adobe e DocuSign. Ma invece del classico trucco del “clicca qui per accedere”, gli scammer stanno cambiando approccio. Ora usano una tecnica chiamata callback phishing, e sta cogliendo molte persone di sorpresa.
Cos’è il Callback Phishing?
Di solito, quando si parla di come evitare di cadere vittima di phishing, il consiglio è: chiama il mittente per verificare se il messaggio è autentico. Queste nuove truffe via PDF cercano proprio di sfruttare quella fiducia che nasce dall’interazione con una persona reale.
Ecco come funziona: ricevi un’email con un PDF che sembra provenire da un noto brand tecnologico. Nel documento trovi un avviso su un problema con una transazione in corso, ad esempio il rinnovo di un abbonamento, insieme a un numero da chiamare per ricevere assistenza.
Sembra innocuo, giusto? Non stai cliccando su nulla di sospetto, stai solo facendo una telefonata. Purtroppo è esattamente quello che vogliono farti credere.
Una volta che chiami, dall’altra parte risponde un finto operatore del servizio clienti che sembra professionale e gentile. Ti chiederà informazioni sensibili, come credenziali o dati di pagamento, oppure ti guiderà nell’installare strumenti di accesso remoto o malware mascherati da soluzioni al presunto problema.
Perché Queste Truffe via PDF Sono Così Pericolose
Questa nuova ondata di frodi è particolarmente insidiosa perché non si basa sul classico clic su link dannosi. I file PDF di per sé potrebbero non contenere malware, ma funzionano come trampolino di lancio per un attacco di social engineering. Il vero pericolo inizia quando componi quel numero e cadi nella trappola.
Spacciandosi per aziende conosciute e assumendo il ruolo di un operatore “ufficiale”, gli scammer ottengono subito credibilità. E dato che molti gestiscono davvero problemi di account via telefono, non è difficile capire come possano ingannare qualcuno.
Come Proteggere la Tua Azienda
Il primo passo è rendersi conto che queste truffe stanno diventando sempre più diffuse. Poi puoi proteggerti adottando alcune buone pratiche:
- Non fidarti degli allegati PDF da mittenti sconosciuti, soprattutto se ti spingono a chiamare un numero.
- Non chiamare mai numeri di assistenza elencati in email o documenti non richiesti.
- Verifica sempre i contatti dal sito ufficiale dell’azienda.
- Forma il personale per riconoscere i segnali di phishing e le truffe di supporto tecnico.
- Usa un software di sicurezza che analizzi gli allegati email alla ricerca di malware nei documenti.
Le truffe via PDF stanno evolvendo e i criminali diventano sempre più abili. Restare vigili e diffidenti è la miglior difesa. In caso di dubbio, non cliccare e non chiamare: elimina subito il PDF.
Ricordati... “Anche se l’informatica non è il tuo lavoro, non puoi lavorare senza l’informatica!”
