Tutti abbiamo sentito parlare di phishing, la famosa truffa via e-mail che falsifica fonti autorevoli per indurre i destinatari a fornire informazioni sensibili o a scaricare malware. Ebbene, il vishing è il suo equivalente attuato tramite telefono. È un trucco con molte varianti che possono avere un impatto sia sugli individui che sulle aziende, con conseguenze potenzialmente devastanti. Insieme, phishing, smishing, pharming e vishing sono costati più di 241.000 vittime per oltre 54 milioni di dollari nel 2020. E questi sono solo i casi che sono stati segnalati all’FBI poiché molti casi di frode non vengono denunciati.

Quindi, come funzionano le truffe di vishing, come influiscono su aziende e individui e come è possibile proteggersi?

Il problema del social engineering

Il vishing funziona per un’ottima ragione: nessuno è infallibile. Il social engineering viene sfruttato al massimo dai cybercriminali, abili nell’arte della persuasione. Consiste nell’impersonare un’autorità fidata – la banca, il fornitore di tecnologia, il governo, un operatore dell’help desk IT – e creare un senso di urgenza o paura che prevale su qualsiasi cautela o naturale sospetto che la vittima potrebbe avere. Queste tecniche vengono utilizzate nelle e-mail di phishing e nei messaggi di testo falsi (noti come smishing). Ma forse sono più efficaci se usati “dal vivo” al telefono. I visher hanno diversi strumenti e tattiche aggiuntive per rendere le loro truffe più efficaci, tra cui:

Strumenti di spoofing dell’ID chiamante, che possono essere utilizzati per nascondere la posizione reale del truffatore e persino impersonare i numeri di telefono di organizzazioni fidate. L’anno scorso, ad esempio, a seguito di una violazione del noto Hotel Ritz London, nella quale sono stati rubati i dati personali dei clienti, le informazioni sottratte sono state utilizzate per il lancio di convincenti attacchi di ingegneria sociale contro le vittime, falsificando il numero ufficiale dell’hotel.

Truffe multicanale che potrebbero iniziare con un messaggio di testo smishing, un’e-mail di phishing o un messaggio vocale e incoraggiare l’utente a chiamare un numero. In questo modo la vittima passerà direttamente nelle mani del truffatore.

Social media scraping e ricerche open source che possono fornire ai malintenzionati grandi quantità di informazioni sulle vittime. Può essere utilizzato per prendere di mira individui specifici (ad esempio, dipendenti aziendali con account privilegiati) e per aggiungere legittimità alla truffa, il visher infatti potrà ripetere alcuni dettagli personali alla vittima in modo da risultare più credibile.

L’impatto del vishing sul posto di lavoro

È molto probabile che il vishing venga utilizzato nel contesto aziendale per rubare credenziali privilegiate. L’FBI ha avvertito più volte di tali attacchi. Nell’agosto 2020, ha dettagliato un’operazione sofisticata in cui i criminali informatici hanno ricercato i loro obiettivi e poi hanno chiamato fingendo di provenire dall’helpdesk IT. Le vittime sono state incoraggiate a inserire i propri dati di accesso su un sito di phishing precedentemente registrato, progettato per falsificare la pagina di accesso VPN dell’azienda. Queste credenziali sono state poi utilizzate per accedere ai database aziendali e alle informazioni personali dei clienti. Questo tipo di attacco è diventato ancora più frequente a causa del passaggio di massa al lavoro a distanza durante la pandemia, ha avvertito l’FBI. È del gennaio 2021 l’ennesima allerta diramata per un’operazione in cui sono state utilizzate tecniche simili per ottenere l’accesso alle reti aziendali.

Una famigerata violazione su Twitter, in cui dipendenti altamente specializzati sono stati indotti con l’inganno dai visher a rivelare i loro accessi, dimostra che anche le aziende e gli utenti esperti di tecnologia possono essere vittime. In questo caso, l’accesso è stato utilizzato per dirottare gli account di utenti famosi per distribuire una truffa con oggetto la criptovaluta.

In che modo il phishing vocale può colpire l’ambito familiare

Sfortunatamente, i visher sono attivi anche nel colpire i consumatori. In questi attacchi, l’obiettivo finale è quello di sottrarre denaro, rubando direttamente i dati del conto bancario o della carta di credito o inducendo con l’inganno la vittima a fornire informazioni personali e dati di accesso all’home banking.

Di seguito alcune truffe tipiche:

Truffe del supporto tecnico

In questo caso, le vittime vengono spesso contattate telefonicamente da qualcuno che finge di essere il loro ISP o un noto fornitore di software o hardware che affermerà di aver riscontrato un problema inesistente con il PC della vittima e quindi richiederà il pagamento (e i dettagli della carta di credito dell’utente) per risolverlo, a volte scaricando malware nel processo. Queste truffe possono anche iniziare con un operatore introdotto da una finestra pop-up che invita l’utente a chiamare un numero di hotline.

Wardialing

Questa pratica consiste nell’invio di messaggi vocali automatici a un gran numero di vittime con l’obiettivo di allarmarli e fare in modo che richiamino, ad esempio sostenendo ci siano tasse o multe non pagate.

Telemarketing

Un’altra tattica frequente è chiamare sostenendo che il destinatario ha vinto un premio favoloso. Peccato che venga richiesta una commissione anticipata prima che la vittima possa ricevere il premio.

Phishing/smishing

Come accennato, le truffe possono iniziare con un’e-mail contraffatta o un SMS falso, incoraggiando l’utente a chiamare un numero. Popolare è un’e-mail “Amazon” che riferisce problemi relativi a un ordine recente. Chiamare il numero metterà la vittima in linea con visher.

Come prevenire il vishing

Sebbene alcune di queste truffe stiano diventando sempre più sofisticate, esistono diversi modi per mitigare il rischio di cadere vittima. Alcuni passaggi di base includono:

  • Cancellarsi dall’elenco telefonico, rendendo il proprio numero non disponibile pubblicamente.
  • Non inserire il proprio numero di telefono nei moduli online (ad es. in caso di acquisti online).
  • Diffidare di richieste telefoniche che richiedono dati bancari, personali o informazioni sensibili.
  • Non interagire con chiamanti non richiesti, soprattutto se chiedono di confermare dati sensibili.
  • Non richiamare mai un numero lasciato in segreteria. Contattare direttamente l’organizzazione.
  • Utilizzare l’autenticazione a più fattori (MFA) su tutti gli account online.
  • Assicurarsi che il nostro antivirus per email/web sia aggiornato e includa funzionalità anti-phishing.
Articolo precedenteBarracuda svela i risultati sugli attacchi di spear phishing
Articolo successivoAOC presenta quattro monitor QHD e 4K con USB-C intelligente