Ogni ottobre, le caselle di posta e i social si riempiono di sconti “spettrali”, omaggi di dolcetti e offerte da brivido. Ma dietro zucche, fantasmi e promesse di regali gratuiti, si nascondono molto spesso frodi digitali.
Secondo un’analisi condotta da Bitdefender Labs, le truffe a tema Halloween non si limitano a un solo canale o a un pubblico specifico. I dati mostrano che i criminali informatici combinano diverse tattiche di frode in un’unica ondata stagionale, lanciando una rete così ampia da colpire praticamente ogni tipo di utente online.
Nelle campagne di quest’anno ad esempio, gli scammer non si sono attenuti a un’unica formula. Hanno mescolato false offerte commerciali, bonus in criptovalute, giveaway di marchi famosi e perfino esche legate al dating, il tutto avvolto da immagini e grafiche di Halloween pensate per catturare l’attenzione.
Tra il 15 settembre e il 15 ottobre 2025, i ricercatori hanno rilevato un aumento globale delle campagne di phishing e truffe a tema Halloween, che spaziano da email truffaldine a pubblicità sponsorizzate sui social usate per diffondere malware.
Ecco cosa hanno scoperto.
Email truffaldine: quando i “dolcetti gratis” nascondono un inganno
In particolare sono state individuate email create per imitare marchi noti come Walmart, Amazon e Home Depot, che promettevano scatole di dolcetti, decorazioni di scheletri o costumi gratuiti.
A un primo sguardo sembrano legittime, ma in realtà reindirizzano verso pagine di phishing o siti di truffa.
Secondo i dati riportati:
- Il 37% delle email a tema Halloween erano semplici esche pubblicitarie.
- Il 63% erano phishing o truffe vere e proprie, progettate per rubare credenziali o denaro.
Chi è il più “spaventato”?
I dati mostrano che gli Stati Uniti hanno ricevuto il 73% di tutte le email spam a tema Halloween, seguiti da Germania (13%) e Irlanda (6%). Volumi minori hanno raggiunto Regno Unito, Romania, Australia, Italia, Canada e Francia.
Dal lato dei mittenti, il 67% dello spam proveniva da server situati negli Stati Uniti, con Germania, Singapore, Lettonia e Paesi Bassi a seguire.
Di seguito riportiamo gli “oggetti” delle email più usati dagli scammer:
- Richiedi il tuo pacchetto di dolcetti di Halloween gratuito da Walmart
- Il tuo dolcetto di Halloween è pronto
- Giveaway Home Depot – Scheletro gigante da brivido
- Solo oggi: scheletro gigante gratuito
- Richiedi la tua Mucca Fantasma di Metallo gratuita da Walmart
- Premio esclusivo Amazon
- La tua occasione per creare un costume di Halloween nuovissimo!
- Ricevi un assortimento gratuito di dolcetti di Halloween
- Il divertimento di Halloween inizia con questo regalo
- Giveaway Walmart – Mucca Fantasma Infestata
Si tratta di frasi accattivanti che giocano su promesse di regali, offerte a tempo limitato o premi esclusivi per spingere gli utenti ad aprire l’email e cliccare su link malevoli.
Molte imitano marchi conosciuti per aumentare la credibilità e sfruttare l’entusiasmo stagionale.
Le truffe dietro gli oggetti delle email di Halloween
Nel caso di Wallmart, la truffa principale è il “Walmart Candy Pack”: le vittime vengono informate di aver vinto un “Halloween Variety Pack”. Il link porta a una pagina falsa che raccoglie dati personali e informazioni di pagamento.
Le email falsificate a marcho Amazon riportano, invece, quasi sempre ad un sondaggio sui costumi: falsi questionari promettono “sconti esclusivi di Halloween” o “costumi gratis”, con l’obiettivo di rubare credenziali Amazon e dati delle carte.
Infine, alcune delle truffe più diffuse includono il giveaway Home Depot “Giant Skelly”, che invita a compilare sondaggi fasulli e pagare spedizioni inesistenti o lo scam “Spook-tacular Singles”, che sfrutta profili falsi a tema Halloween per attrarre utenti in abbonamenti o siti di incontri ingannevoli.
Il rischio è sempre lo stesso, cadere in un brutto “scherzetto” e perdere dati personali, credenziali o denaro.
