Vishing: come ri­co­no­sce­re il voice phishing e re­spin­ge­re gli ag­gres­so­ri

Il termine “vishing” è formato dalle parole “voice” (in italiano “voce”) e “phishing”. Nel vishing gli ag­gres­so­ri sfruttano la tec­no­lo­gia della telefonia IP, per ef­fet­tua­re un gran numero di chiamate frau­do­len­te, a basso costo o gratuite, e rubare così dati, password o in­for­ma­zio­ni bancarie da ignare vittime.

In questo articolo spie­ghia­mo le strategie del “visher” e mostriamo come pro­teg­ger­si dalle chiamate VoIP frau­do­len­te.

Abbinando ma­ni­po­la­zio­ne tecnica ed emotiva, i visher cercano di im­pos­ses­sar­si dei dati sensibili delle loro vittime. Tec­ni­ca­men­te vishing significa che un truf­fa­to­re manipola la tec­no­lo­gia VoIP (Voice over IP) per na­scon­de­re la propria identità e numero di telefono. Il truf­fa­to­re finge dunque di chiamare da un numero di telefono che non gli ap­par­tie­ne o che non è associato al suo indirizzo IP. Il voice phishing attira i de­lin­quen­ti poiché i costi delle chiamate VoIP sono molto bassi. Con una con­nes­sio­ne Internet attiva, un visher può ef­fet­tua­re quindi diverse migliaia di chiamate e, in caso di successo, rac­co­glie­re una grande quantità di dati.

Oltre alla com­po­nen­te tecnica, il voice phishing ha una com­po­nen­te emotiva: gli ag­gres­so­ri esco­gi­ta­no una storia che rende plau­si­bi­le e ne­ces­sa­rio che la vittima agisca im­me­dia­ta­men­te e trasmetta dati sensibili. In questo caso si parla anche di social en­gi­nee­ring, ovvero dell’influenza in­ter­per­so­na­le che mira ad ottenere in­for­ma­zio­ni riservate. I visher sfruttano il tipico com­por­ta­men­to umano, at­tra­ver­so trucchi psi­co­lo­gi­ci, per con­vin­ce­re le vittime a rivelare in­for­ma­zio­ni sensibili. Sebbene esistano molte truffe vishing dif­fe­ren­ti e insidiose, esiste un modello comune a tutti gli attacchi di voice phishing:

1. l’ag­gres­so­re descrive un problema al telefono, di cui si sente parlare per la prima volta.
2. Per risolvere il problema il visher richiede in­for­ma­zio­ni personali, come dati di accesso a un account, dettagli del conto o della carta di credito.
3. L’ag­gres­so­re fa appello all’urgenza della si­tua­zio­ne e desidera sol­le­ci­ta­re un’azione rapida e immediata.

Nella pratica i truf­fa­to­ri uti­liz­za­no sempre le stesse storie per im­pos­ses­sar­si dei dati delle loro vittime. Pro­cu­ra­te­vi una pa­no­ra­mi­ca delle truffe più comuni per di­stin­gue­re istin­ti­va­men­te le chiamate frau­do­len­te da quelle legittime.

Un popolare punto di partenza per i truf­fa­to­ri, quando si tratta di voice phishing, è far finta di essere un impiegato del servizio clienti di una grande società di software. In questo caso l’ag­gres­so­re simula un presunto problema software che vuole aiutarvi a risolvere. Per fare ciò è ne­ces­sa­rio scaricare un programma che fornisce al visher il completo accesso al computer da remoto. Una volta in­stal­la­to il programma, l’ag­gres­so­re ha la pos­si­bi­li­tà di in­stal­la­re un malware e di rubare i dati personali.

Un altro esempio di vishing è quello in cui il chiamante vi comunica che avete vinto un premio di un concorso ma che per ottenerlo dovete prima pagarne i costi di spe­di­zio­ne. Vi vengono pertanto richiesti i dati del conto e un consenso informato per la procedura elet­tro­ni­ca di addebito diretto. In seguito i criminali pre­le­ve­ran­no re­go­lar­men­te denaro con il pretesto di sot­to­scri­ve­re un ab­bo­na­men­to oppure ven­de­ran­no i dati ad altri truf­fa­to­ri.

Molto spesso il voice phishing mira al vostro conto bancario o a quello della carta di credito, motivo per cui molti criminali fingono di essere impiegati di banca. In questo scenario il furto di dati avviene di solito senza contatto personale diretto: il visher lascia un messaggio nella se­gre­te­ria te­le­fo­ni­ca o nella casella di posta elet­tro­ni­ca in cui vi comunica che il vostro conto bancario è a rischio a causa di un hac­ke­rag­gio o di un problema tecnico.

Quando ri­chia­ma­te il numero, sentite un messaggio re­gi­stra­to che chiede i vostri dati d’accesso all’online banking o i dati della vostra carta di credito. L’ag­gres­so­re spera che ascol­tan­do il messaggio vi facciate prendere dal panico. Dopotutto, non c'è quasi nulla di più sensibile dei vostri dati fi­nan­zia­ri.

Per ri­co­no­sce­re il vishing e re­spin­ger­lo con successo, sono ne­ces­sa­rie vigilanza e sana dif­fi­den­za nei confronti delle autorità. Dovreste sempre seguire le seguenti in­di­ca­zio­ni durante le chiamate da parte di presunti di­pen­den­ti di un’azienda x:

Consiglio 1: cercate sempre di capire se il numero dell’ag­gres­so­re può essere un numero ufficiale dell’azienda che l’ag­gres­so­re pre­su­mi­bil­men­te rap­pre­sen­ta. Ma anche se trovate il numero sul sito dell’azienda ciò non ga­ran­ti­sce che la chiamata sia legittima. Simulare un numero di telefono è una parte im­por­tan­te del vishing. Con­trol­la­re il numero può solo fornire un primo indizio e scon­giu­ra­re attacchi par­ti­co­lar­men­te mal preparati.

Consiglio 2: non appena avete dei dubbi dovreste in­ter­rom­pe­re la con­ver­sa­zio­ne e con­tat­ta­re di­ret­ta­men­te il servizio clienti dell’azienda. Chiedete se conoscono il numero e se la procedura è usuale. Fate sempre ri­fe­ri­men­to ai numeri di telefono che sono riportati sul sito web ufficiale dell’azienda. Non chiamate numeri che avete trovato soltanto in una presunta e-mail dell’azienda, in quanto queste e-mail po­treb­be­ro far parte di un attacco di phishing (vocale).

Consiglio 3: non co­mu­ni­ca­te mai al telefono dati di login o dati bancari. Nessuna azienda seria vi chiederà mai al telefono i dati di accesso dei vostri account. Se l’in­ter­lo­cu­to­re che vi ha te­le­fo­na­to vi chiede di fornire i dati del conto o altre in­for­ma­zio­ni personali, rifiutate di farlo e segnalate il contatto alla società in­te­res­sa­ta.

Consiglio 4: se so­spet­ta­te di essere stato vittima di voice phishing, segnalate l’accaduto alla polizia e sporgete denuncia! Dovreste inoltre segnalare il fatto all’azienda di cui il truf­fa­to­re ha di­chia­ra­to di essere di­pen­den­te. Se sono in­te­res­sa­ti i dati bancari, con­tat­ta­te la vostra banca e fate bloccare tem­po­ra­nea­men­te il conto. Spesso i dati di accesso agli account possono essere bloccati online dal sito web. Se uti­liz­za­te la stessa password per account diversi (cosa as­so­lu­ta­men­te da scon­si­glia­re), dovete mo­di­fi­ca­re la password ovunque.

La de­fi­ni­zio­ne di vishing formulata all’inizio consente di dif­fe­ren­zia­re il vishing da altri metodi di furto di dati digitali.

Mentre il gateway per i criminali nel voice phishing è la telefonia IP, nel co­sid­det­to phishing si usano le e-mail per “pescare” i dati personali di utenti ignari. A tal fine i messaggi elet­tro­ni­ci sono preparati nel modo più autentico possibile e dotati di un link a un sito web dannoso. Una forma speciale di phishing è lo spear phishing, in cui i truf­fa­to­ri prendono di mira dati specifici di una o più vittime. Gli spear phisher non lanciano quindi una grande rete di frodi ma attaccano in modo mirato.

In linea di principio lo smishing funziona in modo molto simile, tuttavia, con questa forma di frode viene uti­liz­za­to l’SMS come mezzo per rubare i dati.

Vishing, phishing e smishing dif­fe­ri­sco­no l’uno dall’altro nel modo in cui il truf­fa­to­re utilizza il contatto e la co­mu­ni­ca­zio­ne con le vittime. In tutte le varianti l’obiettivo è sempre lo stesso: rubare dati personali come dati bancari, numeri di carte di credito o cre­den­zia­li di accesso, per ar­ric­chir­si fi­nan­zia­ria­men­te.