Le truffe online continuano a colpire milioni di persone, e i dati lo confermano senza mezzi termini: secondo un report recente, un adulto su cinque finisce nella rete dei cybercriminali, mentre le perdite finanziarie a livello globale hanno sfiorato i 580 miliardi di dollari (circa 535 miliardi di euro) nel 2025. Google ha deciso di fare un po’ di chiarezza, raccogliendo le quattro categorie di truffe online più diffuse del mese di giugno e accompagnando il tutto con qualche consiglio pratico per non cadere nelle trappole.
Quishing, AITM e ClickFix: il phishing si evolve
Il phishing resta una delle tecniche preferite dai malintenzionati, ma con il tempo si è fatto più sofisticato. Google ne ha individuate due varianti particolarmente furbe. La prima si chiama Quishing, ovvero il phishing tramite codice QR. Invece di spingere l’utente a cliccare su un link sospetto o a scaricare un allegato, i criminali inseriscono nell’email un codice QR. Quando viene inquadrato con la fotocamera dello smartphone, il gioco è fatto: vengono rubate le credenziali di accesso e i cookie di sessione, che permettono di entrare nell’account come se fossero il legittimo proprietario.
Il consiglio di Google è semplice: non scansionare mai quei codici, meglio aprire direttamente il sito ufficiale del servizio. Poi c’è il Calendar Phishing, una variante che sfrutta i falsi avvisi di rinnovo dell’abbonamento a servizi cloud, infilati dritti dritti negli inviti di Google Calendar. L’azienda di Mountain View ha anche individuato campagne AITM (Adversary-in-the-Middle), che imitano marchi conosciuti per rubare i token di sessione degli utenti di posta elettronica, e attacchi ClickFix, dove finti avvisi di aggiornamento del browser servono a distribuire malware su Google Sites.
Criptovalute, app finanziarie e autorità: le altre trappole
Un altro grande classico riguarda i falsi investimenti in criptovalute. Qui i criminali puntano sulle inserzioni pubblicitarie nei motori di ricerca, sui social media o su YouTube, sventolando la promessa di guadagni facili e veloci. Seguendo le istruzioni passo dopo passo, le vittime finiscono per consegnare i propri wallet direttamente nelle mani dei truffatori. Google avverte di non copiare e incollare mai nel terminale codici o comandi presi da tutorial online, perché possono installare malware capaci di svuotare il portafoglio digitale in un attimo.
Discorso simile per le false app finanziarie e per prestiti. Diverse applicazioni di questo tipo sono state scovate sul Play Store: all’apparenza sembrano innocue, tanto da superare i controlli iniziali. Il problema arriva dopo l’installazione, quando scaricano un aggiornamento che le trasforma in strumenti di estorsione. Sfruttando i permessi di accessibilità, riescono a rubare messaggi e foto, per poi minacciare di renderli pubblici se non viene versata una certa somma. Google è in grado di rilevare questi permessi “dormienti”, ma il consiglio rimane lo stesso: mai concedere accesso a foto, messaggi e contatti se l’app non ne ha realmente bisogno per funzionare.
C’è infine l’impersonificazione delle autorità, l’ultima categoria emersa a giugno. Le vittime ricevono email, messaggi o telefonate che sembrano arrivare dalle forze dell’ordine o da istituzioni governative. Il copione è quasi sempre lo stesso: viene comunicato che è in corso un’indagine per crimini finanziari, e quindi serve pagare le spese legali oppure fornire le credenziali del conto bancario. Google ricorda un dettaglio fondamentale: forze dell’ordine e funzionari governativi non contattano mai i cittadini tramite email, messaggi o telefono. Se succede, si tratta con ogni probabilità di una truffa bella e buona.