Torna al blog

Phishing su dispositivi mobili: SMS, WhatsApp e QR - Di quali politiche hanno effettivamente bisogno le PMI

Il mobile è ormai in prima linea nel phishing. Il personale approva le richieste di autenticazione a più fattori (MFA) sui propri telefoni, scansiona i codici QR all'ingresso dell'ufficio e collega le chat aziendali al desktop tramite QR. Gli hacker seguono questa scia. Questa guida offre alle PMI un testo di policy pronto da copiare e incollare e controlli rapidi che puoi implementare già questa settimana, basati su avvisi recenti e su ciò che osserviamo sul campo.

Di Autophish Team|Pubblicato il 9/29/2025
Cover image for Phishing su dispositivi mobili: SMS, WhatsApp e QR - Di quali politiche hanno effettivamente bisogno le PMI

Perché il phishing mobile è importante nel 2025

  • Lo smishing (phishing via SMS) è aumentato ed è uno dei principali vettori di frode in Europa; il “quishing” basato sui codici QR sta crescendo rapidamente. ENISA
  • Abuso di WhatsApp/dispositivi collegati: gli attori legati allo Stato sono passati dalle e-mail al controllo delle app di messaggistica, spesso ingannando le vittime e convincendole a scansionare i codici QR di WhatsApp Web. Considera le scansioni come password. Microsoft+1
  • La stanchezza da MFA ha costretto a ripensare le approvazioni push; Microsoft ha spostato i tenant al number-matching per contrastare le approvazioni push-spam. Microsoft Learn+1
  • FBI/IC3 mettono in guardia dalle frodi basate sui codici QR, comprese le truffe in cui pacchi non richiesti contengono un codice QR che porta al furto di credenziali o a malware. Internet Crime Complaint Center+1

Per avere un quadro della situazione e capire “cosa è andato storto”, dai un’occhiata alle nostre 10 storie incredibili di phishing (2024–2025)—mettiamo in evidenza casi di appropriazione di account tramite QR code e attacchi tramite app di messaggistica con misure di protezione concrete.

Il manuale del phishing mobile-first (come funzionano gli attacchi)

  1. Smishing e esche tramite messaggi
    Messaggi brevi che fingono di provenire da corrieri, società di pedaggio o reimpostazioni IT. I link aprono pagine per le credenziali, moduli di pagamento o spingono gli utenti a installare app dannose.
  2. Codici QR come token di accesso
    WhatsApp e altre app usano i QR per collegare i dispositivi. Una scansione forzata = presa di controllo della sessione, anche senza password. Le politiche dovrebbero considerare “Scansiona per collegare” = fase di autenticazione sensibile.
  3. Abuso delle notifiche MFA
    Gli hacker inviano notifiche a raffica finché un utente stanco non tocca “Approva”. Il confronto dei numeri (inserisci il codice sullo schermo) e la geolocalizzazione/il contesto dell'utente riducono queste approvazioni.
  4. Malware sui dispositivi mobili
    I link in genere rubano le credenziali, ma possono anche spingere installazioni dannose: più fattibile su Android tramite APK sideloadati; su iOS è più difficile (barriera dell'App Store) ma esistono profili rischiosi/vulnerabilità 0-click. Le protezioni mobili come Play Protect riducono ma non eliminano il rischio.

Quali politiche servono davvero alle PMI (pronte per essere adattate)

Di seguito trovi alcune clausole concise che puoi inserire nelle tue politiche di Uso Accettabile, BYOD e Messaggistica. Ognuna include un controllo e una breve spiegazione del “perché”.

1) BYOD: requisiti minimi di sicurezza

  • Sistema operativo e livello di patch: i dispositivi personali utilizzati per lavoro devono utilizzare un sistema operativo supportato dal produttore e avere gli aggiornamenti automatici abilitati. (Android, iOS, iPadOS).
  • Controlli di sicurezza del dispositivo: Blocco dello schermo, archiviazione crittografata e possibilità di cancellare da remoto i dati di lavoro tramite MDM/Profilo di lavoro (COPE/COSU o Profilo di lavoro Android/Registrazione utente iOS).
  • Origini delle app: Nessuna app installata lateralmente per uso lavorativo; le app aziendali devono provenire da store gestiti. (Le fonti sconosciute su Android aumentano il rischio; Play Protect lo mitiga ma non sostituisce una politica.) NCSC+2NCSC+2

Perché: Le linee guida sui dispositivi dell'NCSC sottolineano l'importanza di bilanciare l'usabilità con i controlli nel BYOD; è necessario garantire la separazione e la revoca dei dati gestiti. NCSC+1

2) App di messaggistica e social (WhatsApp, Signal, iMessage, ecc.)

  • Limiti all'uso aziendale: se le app di messaggistica vengono usate per lavoro, limitale ai dispositivi gestiti; niente collegamenti tramite QR sui desktop non gestiti.
  • Monitoraggio dei dispositivi collegati: avvisa in caso di nuovi dispositivi collegati; richiedi una nuova verifica ogni 30 giorni.
  • Nessuna approvazione di dati sensibili tramite chat: pagamenti, modifiche alle coordinate bancarie o reimpostazioni SSO devono avvenire tramite ticket + richiamata a un numero presente nella rubrica.

Perché: gli autori delle minacce stanno abusando attivamente del collegamento tramite messenger e dei codici QR. Considera la scansione di un codice QR come un accesso SSO. Microsoft

3) Gestione dei codici QR

  • Considera i codici QR come credenziali: Scansionare un codice QR per l'accesso o il collegamento di un dispositivo equivale a inserire una password; scansiona solo da fonti affidabili su dispositivi gestiti.
  • Anteprima prima dell'apertura: Il personale deve visualizzare l'anteprima dell'URL (i browser/app mobili supportano questa funzione) e verificare il dominio prima di aprire.
  • Blocca gli abbreviatori rischiosi: Filtra gli abbreviatori più comuni (ad eccezione degli usi aziendali presenti nella lista bianca).

Perché: L'FBI/IC3 ha documentato casi di frode tramite QR; gli hacker nascondono le destinazioni e si approfittano della fiducia. Internet Crime Complaint Center

4) Rafforzamento dell'autenticazione a più fattori (MFA) (evita la "fatica da notifiche")

  • Applica la corrispondenza dei numeri per le approvazioni tramite notifiche in tutto il tenant.
  • Preferisci metodi resistenti al phishing (FIDO2/passkeys) e disattiva il fallback via SMS dopo la registrazione. Microsoft Learn+1

Perché: Lo spam via notifiche funziona; la corrispondenza dei numeri e le passkeys riducono significativamente gli abusi.

5) Controlli su browser e app mobili

  • Navigazione sicura e verifica delle app: Tieni attivo Play Protect; blocca l'installazione di app da fonti sconosciute; richiedi app store gestiti. Google Help
  • **Profili/configurazioni: vietare l'installazione di profili di configurazione non approvati su iOS; i profili possono alterare le radici di fiducia, VPN/DNS o MDM: rischio grave. TechTarget

6) Pagamenti e approvazioni su dispositivi mobili

  • Doppio controllo + richiamata: Qualsiasi pagamento, cambio di banca del fornitore o acquisto di carte regalo richiede due approvatori + richiamata utilizzando un numero conosciuto (non quello del messaggio).
  • Niente “approvazione tramite link in SMS” per i flussi di lavoro finanziari/HR.

Perché: Il BEC classico rimane costoso; le misure di sicurezza dei processi battono il giudizio umano sotto pressione.

7) Segnalazione e risposta (corsia preferenziale)

  • Segnalazione con un solo tocco: Aggiungi un'azione Segnala SMS/Messaggio nell'app di assistenza MDM; inoltra a SecOps + fornitore per la rimozione.
  • Conserva le prove: Il personale dovrebbe conservare il messaggio, fare uno screenshot dell'URL completo e annotare l'ora prima di cancellarlo.
  • Blocchi automatici: Aggiungi i domini/host del mittente e del destinatario ai gateway mobili e di posta; tieni d'occhio i dispositivi appena collegati.

Lista di controllo per l'implementazione

  1. Attiva il numero di corrispondenza (Microsoft Entra ID) e rivedi i metodi MFA; preferisci passkey/FIDO2.
  2. Aggiorna la politica BYOD con le clausole sopra indicate; richiedi app store gestiti e nessun collegamento tramite QR code sui desktop non gestiti.
  3. Imposta le regole MDM: blocca le fonti sconosciute su Android, blocca i profili iOS non approvati, avvisa in caso di nuovi dispositivi collegati a WhatsApp/Signal.
  4. Organizza una breve formazione usando AutoPhish. Per un approccio che non crei attriti con il comitato aziendale, usa metriche anonime: la nostra guida spiega come fare.

Domande frequenti

D1) Il phishing può essere effettuato tramite telefono?

Sì. Lo smishing (SMS) e i messaggi diretti su Messenger sono canali di phishing comuni. I messaggi rimandano a pagine di accesso false, siti di pagamento o installazioni di app; possono anche tentare richiamate di voice phishing (vishing). La CISA definisce lo smishing come ingegneria sociale basata su SMS e spiega in dettaglio come i link possano innescare azioni sui dispositivi mobili. CISA

D2) Il phishing può essere usato per il furto d'identità?

Assolutamente sì. L'obiettivo è spesso il furto di credenziali (e-mail, banca, app cloud) o la raccolta di dati personali che consentono l'appropriazione dell'account e la frode finanziaria. I messaggi di pubblica utilità dell'FBI/IC3 hanno ripetutamente avvertito che le campagne di QR/smishing raccolgono dati personali e finanziari a scopo di frode. Internet Crime Complaint Center

Q3) Un link di phishing può installare malware sul mio telefono?

A volte, ma di solito sono necessari ulteriori passaggi.

  • Su Android, un sito potrebbe cercare di farti installare un APK; Play Protect riduce il rischio, ma è fondamentale inserire le fonti nella lista dei permessi. Guida di Google
  • Su iOS, le installazioni dirette sono limitate; gli hacker potrebbero inviare profili di configurazione dannosi o sfruttare rare vulnerabilità zero-click. (Recenti avvisi di WhatsApp evidenziano problemi zero-click mirati che sono stati corretti; mantieni aggiornate le app.) TechTarget+1 Il più delle volte, il rischio maggiore è il furto di credenziali e di sessioni, che porta alla frode d'identità anche senza malware. CISA

D4) È sicuro scansionare i codici QR?

Tratta i codici QR come un link: scansiona solo da fonti affidabili, preferisci dispositivi gestiti e controlla l'anteprima dell'URL prima di aprirlo. L'FBI/IC3 ha messo in guardia specificatamente contro gli schemi basati sui codici QR (compresi quelli non richiesti con QR incorporato). Internet Crime Complaint Center

D5) Il phishing su WhatsApp è reale se ho l'autenticazione a due fattori (2FA)?

Sì. Gli hacker possono indurre gli utenti a collegare un nuovo dispositivo tramite QR, aggirando le password rubando l'accesso alla sessione. Attiva il PIN di verifica in due passaggi di WhatsApp, controlla i dispositivi collegati e non collegarti mai da un computer non affidabile. Microsoft

D6) Cosa dovrebbero fare diversamente i reparti finanza/risorse umane sui dispositivi mobili?

Nessuna approvazione o modifica bancaria tramite link o chat. Usa ticket + doppio controllo + richiamata a un numero conosciuto, ogni volta. Il nostro riassunto degli incidenti spiega perché questo blocca anche le truffe più sofisticate con deepfake o messaggi diretti.

Ulteriori letture e risorse

  • Le migliori pratiche CISA per i dispositivi mobili e perché l'autenticazione a più fattori (MFA) FIDO/resistente al phishing è migliore dei codici via SMS o app. CISA
  • Linee guida BYOD dell'NCSC per strutturare una politica sui dispositivi personali sensata e praticabile. NCSC+1
  • Microsoft sull'evoluzione degli attacchi all'identità (stanchezza da notifiche → corrispondenza dei numeri → passkey). Microsoft Learn+1
  • Annuncio di pubblica utilità dell'IC3 sulle frodi tramite QR code (truffe attuali, segnalazione). Internet Crime Complaint Center

Come AutoPhish può aiutarti

  • Simulazioni ottimizzate per dispositivi mobili: scenari sicuri di smishing, QR e messaggistica con coaching istantaneo (in arrivo)
  • Formazione basata su politiche aziendali: il nostro approccio formativo rispettoso della privacy mantiene il sostegno dei comitati aziendali mentre si modifica il comportamento.
Torna a tutti gli articoli

Avvia il tuo primo test di phishing in 10 minuti.

Registrazione gratuita — senza carta di credito. Prova Pro per 7 giorni quando sei pronto.

Inizia a simulareVuoi una demo per un team più grande? Parla con noi →