Il vishing (phishing vocale o VoIP) è un tipo di attacco informatico che sfrutta tecnologie vocali e di telefonia per indurre persone a rivelare dati sensibili a entità non autorizzate. Questi dati possono includere informazioni personali, come il numero di codice fiscale o dettagli su un conto finanziario, o possono essere collegati a contesti aziendali. Ad esempio, i criminali informatici possono utilizzare il vishing per convincere un dipendente a divulgare informazioni sull’accesso alla rete aziendale.
Il termine “vishing” è un portmanteau creato unendo le parole “voce” e “phishing” e, tipicamente, viene considerato una forma di phishing, che a sua volta è una forma di ingegneria sociale. Il vishing si concentra sulla comunicazione vocale, mentre il phishing si basa principalmente sulla comunicazione via email. Gli attacchi di vishing vengono attuati contro individui e aziende, di solito per ottenere un profitto finanziario, ma possono essere motivati anche da altri obiettivi, come attività politiche, competitive o di ritorsione.
Il vishing è quindi una forma di ingegneria sociale che si avvale della comunicazione vocale.
Cosa accade durante un attacco di vishing?
I truffatori che conducono campagne di vishing utilizzano una serie di tattiche per convincere le loro vittime a divulgare informazioni riservate. Possono chiamare direttamente le loro vittime o lasciare messaggi vocali. Possono riprodurre messaggi preregistrati o parlare direttamente con le loro vittime. Possono anche inviare messaggi di testo o utilizzare altri metodi per attirare potenziali vittime.
Ad esempio, un truffatore potrebbe inviare un messaggio di testo al numero di telefono di una potenziale vittima, suggerendo che ci sia un problema con il suo conto bancario. Successivamente, invierebbe un messaggio vocale affermando che il conto bancario della vittima ha subito attività sospette ed è stato bloccato. Il messaggio istruisce quindi la vittima a chiamare un numero di telefono specifico e fornire informazioni per “verificare l’identità del cliente” o per “assicurarsi che non si sia verificata una frode”.
I truffatori di vishing cercano spesso di creare un senso di urgenza o una minaccia implicita durante la comunicazione con le loro vittime. Sfruttano la paura, l’eccitazione, l’avidità e altre risposte emotive per convincere le vittime a rivelare informazioni riservate prima che abbiano il tempo di riflettere sulle loro azioni. A tal fine, utilizzano una serie di tecniche, tra cui:
- Affermano di chiamare da un istituto finanziario, come una società di carte di credito, e sostengono che ci sia un problema urgente con l’account del cliente che richiede un’azione immediata.
- Offrono opportunità allettanti, come carte di credito senza interessi o sconti significativi su prodotti, ma la vittima deve agire immediatamente per sfruttare tali offerte.
- Si fingono un’ente governativo, affermando che ci sia un problema con l’account della vittima, come un pagamento di una tassa non effettuato o in sospeso, e che l’individuo debba chiamare immediatamente per risolvere il problema.
- Si presentano come tecnici del supporto tecnico che chiamano per segnalare un problema con il sistema o il servizio che la vittima utilizza, sottolineando che il problema potrebbe peggiorare se non risolto immediatamente.
- Informano la vittima che la garanzia dell’auto o di un altro prodotto sta per scadere e che deve agire immediatamente per estendere tale garanzia.
- Annunciando che la vittima ha vinto un premio in denaro, ma necessitano di ulteriori informazioni per richiedere il premio.
Queste truffe rappresentano solo alcuni dei metodi utilizzati nell’attuazione della truffa di tipo “vishing”. I criminali informatici sfruttano ogni possibile strategia per convincere le loro vittime a rivelare dati sensibili e prendono di mira sia individui che ambienti aziendali. I truffatori sono diventati estremamente abili e sofisticati nel perpetrare queste frodi, e anche le persone più attente alla tecnologia possono cadere vittime.
A complicare ulteriormente la situazione, i criminali informatici stanno attuando attacchi sempre più mirati, utilizzando informazioni raccolte in precedenza per convincere le vittime della loro autenticità. Ad esempio, possono acquistare dati sensibili sul dark web o da altre fonti, o condurre ricerche online sui loro potenziali bersagli, accumulando un notevole quantitativo di informazioni preziose. Successivamente, i truffatori utilizzano tali informazioni per apparire più credibili durante le comunicazioni con le vittime e le spingono a rivelare informazioni ancora più sensibili. Questo approccio mirato viene spesso adottato quando si prendono di mira persone all’interno di contesti aziendali.
La consapevolezza di queste tattiche e l’adozione di misure di sicurezza adeguate sono fondamentali per proteggersi dal vishing.
In che modo i truffatori effettuano attacchi di vishing?
Le tecnologie attuali consentono ai criminali informatici di condurre ampie campagne di vishing, sfruttando in particolare il voice over IP (VoIP), un sistema di telecomunicazioni che utilizza reti IP ad alta velocità per le comunicazioni vocali. Sebbene il VoIP sia ampiamente utilizzato per scopi legittimi, i criminali informatici ne approfittano per effettuare spoofing degli ID chiamanti e sfruttarne le numerose funzionalità. Grazie al VoIP, possono eseguire attacchi senza essere individuati, automatizzare gran parte delle loro operazioni e nascondere la loro posizione o spostarla continuamente.
I truffatori informatici utilizzano anche lo spoofing dell’ID chiamante, una tecnica per manipolare gli ID chiamanti visualizzati al fine di impersonare fonti legittime come banche o agenzie governative. Inoltre, hanno iniziato ad utilizzare l’apprendimento automatico per clonare le voci delle persone che le loro vittime potrebbero riconoscere, rendendo gli attacchi mirati molto più efficaci e difficili da individuare.
Il vishing basato sul VoIP è estremamente difficile da tracciare per le autorità, e se combinato con la clonazione vocale, diventa ancora più complesso da fermare. Inoltre, i truffatori spesso esternalizzano le loro frodi a individui o organizzazioni in altri paesi, rendendo le forze dell’ordine locali impotenti. Anche in altri paesi, i criminali informatici stanno sfruttando tecnologie come il VoIP, aggiungendo ulteriori sfide.
A casa o in ufficio, le persone dovrebbero diffidare di chiamate o messaggi vocali non richiesti che ricevono, indipendentemente da chi sembra chiamare. Dovrebbero essere particolarmente caute se ricevono chiamate o messaggi che cercano di instillare paura, trasmettono un senso di urgenza, richiedono informazioni personali o cercano di convincere la vittima a intraprendere un’azione, come chiamare un numero specifico. Moltissime organizzazioni (specie finanziarie), già da qualche anno, dichiarano esplicitamente di non chiamare mai le persone per richiedere informazioni personali o relative all’account.
Nella maggior parte dei casi, se sospettano di essere vittime di un attacco di vishing, gli utenti dovrebbero semplicemente riagganciare. Se ritengono necessario rispondere, devono chiamare il numero di telefono pubblico dell’istituzione indicato per verificare l’attività recente e accertarsi che l’account non sia stato compromesso. Non devono mai chiamare un numero fornito dalla persona sospetta, né rispondere a richieste, sia parlando che premendo tasti.
In conclusione, è fondamentale essere consapevoli del vishing e delle tattiche utilizzate dai truffatori. Proteggere i propri dati sensibili e personali è una priorità nella società digitale odierna. Se hai dubbi o desideri maggiori informazioni su come proteggere la tua organizzazione dal vishing, non esitare a contattare il Data Protection Team di FinData, che è a disposizione per fornire consulenza e suggerimenti per garantire la sicurezza dei tuoi dati e prevenire potenziali attacchi. Insieme possiamo mantenere al sicuro le tue informazioni preziose!