Vishing: come riconoscere il voice phishing e respingere gli aggressori

Il termine “vishing” è formato dalle parole “voice” (in italiano “voce”) e “phishing”. Nel vishing gli aggressori sfruttano la tecnologia della telefonia IP, per effettuare un gran numero di chiamate fraudolente, a basso costo o gratuite, e rubare così dati, password o informazioni bancarie da ignare vittime.

In questo articolo spieghiamo le strategie del “visher” e mostriamo come proteggersi dalle chiamate VoIP fraudolente.

Abbinando manipolazione tecnica ed emotiva, i visher cercano di impossessarsi dei dati sensibili delle loro vittime. Tecnicamente vishing significa che un truffatore manipola la tecnologia VoIP (Voice over IP) per nascondere la propria identità e numero di telefono. Il truffatore finge dunque di chiamare da un numero di telefono che non gli appartiene o che non è associato al suo indirizzo IP. Il voice phishing attira i delinquenti poiché i costi delle chiamate VoIP sono molto bassi. Con una connessione Internet attiva, un visher può effettuare quindi diverse migliaia di chiamate e, in caso di successo, raccogliere una grande quantità di dati.

Oltre alla componente tecnica, il voice phishing ha una componente emotiva: gli aggressori escogitano una storia che rende plausibile e necessario che la vittima agisca immediatamente e trasmetta dati sensibili. In questo caso si parla anche di social engineering, ovvero dell’influenza interpersonale che mira ad ottenere informazioni riservate. I visher sfruttano il tipico comportamento umano, attraverso trucchi psicologici, per convincere le vittime a rivelare informazioni sensibili. Sebbene esistano molte truffe vishing differenti e insidiose, esiste un modello comune a tutti gli attacchi di voice phishing:

1. l’aggressore descrive un problema al telefono, di cui si sente parlare per la prima volta.
2. Per risolvere il problema il visher richiede informazioni personali, come dati di accesso a un account, dettagli del conto o della carta di credito.
3. L’aggressore fa appello all’urgenza della situazione e desidera sollecitare un’azione rapida e immediata.

Nella pratica i truffatori utilizzano sempre le stesse storie per impossessarsi dei dati delle loro vittime. Procuratevi una panoramica delle truffe più comuni per distinguere istintivamente le chiamate fraudolente da quelle legittime.

Un popolare punto di partenza per i truffatori, quando si tratta di voice phishing, è far finta di essere un impiegato del servizio clienti di una grande società di software. In questo caso l’aggressore simula un presunto problema software che vuole aiutarvi a risolvere. Per fare ciò è necessario scaricare un programma che fornisce al visher il completo accesso al computer da remoto. Una volta installato il programma, l’aggressore ha la possibilità di installare un malware e di rubare i dati personali.

Un altro esempio di vishing è quello in cui il chiamante vi comunica che avete vinto un premio di un concorso ma che per ottenerlo dovete prima pagarne i costi di spedizione. Vi vengono pertanto richiesti i dati del conto e un consenso informato per la procedura elettronica di addebito diretto. In seguito i criminali preleveranno regolarmente denaro con il pretesto di sottoscrivere un abbonamento oppure venderanno i dati ad altri truffatori.

Molto spesso il voice phishing mira al vostro conto bancario o a quello della carta di credito, motivo per cui molti criminali fingono di essere impiegati di banca. In questo scenario il furto di dati avviene di solito senza contatto personale diretto: il visher lascia un messaggio nella segreteria telefonica o nella casella di posta elettronica in cui vi comunica che il vostro conto bancario è a rischio a causa di un hackeraggio o di un problema tecnico.

Quando richiamate il numero, sentite un messaggio registrato che chiede i vostri dati d’accesso all’online banking o i dati della vostra carta di credito. L’aggressore spera che ascoltando il messaggio vi facciate prendere dal panico. Dopotutto, non c'è quasi nulla di più sensibile dei vostri dati finanziari.

Per riconoscere il vishing e respingerlo con successo, sono necessarie vigilanza e sana diffidenza nei confronti delle autorità. Dovreste sempre seguire le seguenti indicazioni durante le chiamate da parte di presunti dipendenti di un’azienda x:

Consiglio 1: cercate sempre di capire se il numero dell’aggressore può essere un numero ufficiale dell’azienda che l’aggressore presumibilmente rappresenta. Ma anche se trovate il numero sul sito dell’azienda ciò non garantisce che la chiamata sia legittima. Simulare un numero di telefono è una parte importante del vishing. Controllare il numero può solo fornire un primo indizio e scongiurare attacchi particolarmente mal preparati.

Consiglio 2: non appena avete dei dubbi dovreste interrompere la conversazione e contattare direttamente il servizio clienti dell’azienda. Chiedete se conoscono il numero e se la procedura è usuale. Fate sempre riferimento ai numeri di telefono che sono riportati sul sito web ufficiale dell’azienda. Non chiamate numeri che avete trovato soltanto in una presunta e-mail dell’azienda, in quanto queste e-mail potrebbero far parte di un attacco di phishing (vocale).

Consiglio 3: non comunicate mai al telefono dati di login o dati bancari. Nessuna azienda seria vi chiederà mai al telefono i dati di accesso dei vostri account. Se l’interlocutore che vi ha telefonato vi chiede di fornire i dati del conto o altre informazioni personali, rifiutate di farlo e segnalate il contatto alla società interessata.

Consiglio 4: se sospettate di essere stato vittima di voice phishing, segnalate l’accaduto alla polizia e sporgete denuncia! Dovreste inoltre segnalare il fatto all’azienda di cui il truffatore ha dichiarato di essere dipendente. Se sono interessati i dati bancari, contattate la vostra banca e fate bloccare temporaneamente il conto. Spesso i dati di accesso agli account possono essere bloccati online dal sito web. Se utilizzate la stessa password per account diversi (cosa assolutamente da sconsigliare), dovete modificare la password ovunque.

La definizione di vishing formulata all’inizio consente di differenziare il vishing da altri metodi di furto di dati digitali.

Mentre il gateway per i criminali nel voice phishing è la telefonia IP, nel cosiddetto phishing si usano le e-mail per “pescare” i dati personali di utenti ignari. A tal fine i messaggi elettronici sono preparati nel modo più autentico possibile e dotati di un link a un sito web dannoso. Una forma speciale di phishing è lo spear phishing, in cui i truffatori prendono di mira dati specifici di una o più vittime. Gli spear phisher non lanciano quindi una grande rete di frodi ma attaccano in modo mirato.

In linea di principio lo smishing funziona in modo molto simile, tuttavia, con questa forma di frode viene utilizzato l’SMS come mezzo per rubare i dati.

Vishing, phishing e smishing differiscono l’uno dall’altro nel modo in cui il truffatore utilizza il contatto e la comunicazione con le vittime. In tutte le varianti l’obiettivo è sempre lo stesso: rubare dati personali come dati bancari, numeri di carte di credito o credenziali di accesso, per arricchirsi finanziariamente.