Tecniche di ingegneria sociale come il vishing e il phishing sono spesso usate dai cyber-criminali per truffare gli utenti. Questo genere di minacce è molto difficile da prevedere. Per questo, c’è bisogno di più informazione possibile. Solo conoscendo i reali pericoli le persone possono proteggersi dalle truffe. Proprio per questo motivo, vediamo insieme di cosa si tratta e come prevenire questi attacchi.
Il vishing
Il vishing è un crimine informatico. Tramite delle truffe telefoniche vengono rubate informazioni personali e riservate delle vittime. Spesso è definito anche phishing vocale, per le sue similarità con l’altra tattica. I criminali utilizzano tattiche di ingegneria sociale per convincere le vittime a dar loro, ad esempio, l’accesso ai conti bancari.
Simile al phishing o allo smishing (truffe tramite SMS), il vishing si basa sul convincere le vittime della validità della chiamata. Spesso infatti chi chiama millanta di essere un agente governativo oppure un poliziotto, un dipendente di banca.
Utilizzando un misto di minacce e frasi convincenti, i criminali informatici fanno sentire le vittime come se non avessero altra scelta che fornire le informazioni che vengono loro richieste. Alcuni hacker usano un linguaggio forte e deciso, altri affermano di voler aiutare la vittima a evitare accuse penali. Un’altra tattica comune è lasciare messaggi vocali che dicono al destinatario di richiamare immediatamente. In tal modo, si prepara la vittima alla chiamata, rendendola in qualche modo più legittima.
Spesso i criminali informatici adattano le loro chiamate e i loro messaggi in base al periodo dell’anno o a una notizia scottante in circolazione. Ad esempio, nei periodi in cui si pagano determinate tasse, i criminali lasciano messaggi che fingono di provenire dall’Agenzia dell’Entrate.
Durante la pandemia di COVID-19, invece, diversi utenti hanno ricevuto chiamate nelle quali si offrivano loro vaccini e kit di test. In questo modo li costringevano a fornire informazioni sul conto bancario e l’indirizzo postale.
Il vishing viene utilizzato per attaccare sia gli individui che le aziende. Un criminale informatico può ricercare un’azienda, trovare le informazioni di contatto di un dipendente online e quindi chiamare per conto dell’amministratore delegato. Così si può chiedere alla vittima di trasferire fondi per pagare una fattura in sospeso o inviare tramite e-mail file del personale. Semplice e letale.
Le fasi del vishing
Possiamo distinguere quattro diverse fasi nell’applicazione delle truffe di vishing. Vediamole insieme.
- Il cyber-criminale inizia facendo ricerche sulle proprie vittime. Ciò potrebbe includere l’invio di e-mail di phishing, sperando che qualcuno risponda e fornisca il proprio numero di telefono. Oppure si utilizza un software specializzato per chiamare più persone utilizzando un numero di telefono con lo stesso prefisso delle vittime.
- Se la vittima è già stata ingannata da un’e-mail di phishing, è molto improbabile che sospetti anche di chi chiama. Inoltre, i criminali informatici sanno che è più probabile che le persone rispondano alle chiamate da numeri che hanno un prefisso locale.
- Ora che il criminale informatico ha agganciato qualcuno al telefono, la mossa successiva è fare appello agli istinti umani di fiducia, paura, avidità e curiosità della vittima. A seconda dello schema di vishing, il criminale può utilizzare tutte o solo una di queste tecniche di ingegneria sociale per convincere la vittima. L’hacker può richiedere informazioni sul conto bancario, dettagli della carta di credito o l’indirizzo postale. Oppure chiedere alla vittima di agire trasferendo fondi, inviando tramite posta elettronica documenti riservati o fornendo dettagli sul proprio datore di lavoro.
- Questo crimine informatico non si ferma qui. Ora che il criminale dispone di queste informazioni, può procedere nel compiere ulteriori crimini. Ad esempio, può svuotare il conto bancario della vittima, commettere un furto di identità, inviare un’e-mail ai colleghi della vittima nella speranza di indurre qualcuno a fornire informazioni di lavoro riservate. Insomma, la catena non ha mai fine.
Come riconoscere e prevenire il vishing
È importante improntare campagne di formazione e comunicazione sulla consapevolezza della sicurezza. Così si può capire come riconoscere e prevenire il vishing. Ecco in ogni caso alcuni consigli utili.
Non fornire o confermare mai le informazioni personali al telefono. Basti ricordare che una banca, ospedale, dipartimento di polizia o qualsiasi dipartimento governativo non chiamerà mai chiedendo informazioni personali.
Ascolta molto attentamente chi chiama. Ecco le regole di base: prestare attenzione alla lingua utilizzata e pensare prima di rispondere. Non fornire mai alcuna informazione personale. Non confermare informazioni. Diffidare delle minacce e delle richieste urgenti.
Diffidare di qualsiasi numero di telefono che il criminale fornisce per confermare la sua identità. Si potrebbe cercare il numero di telefono e chiamarlo utilizzando un telefono diverso. I criminali informatici possono creare numeri falsi.
Non rispondere alle telefonate da numeri sconosciuti. È meglio lasciare che la chiamata vada nella casella dei messaggi vocali per poi ascoltare il messaggio con molta attenzione.
Fai domande. Se chi chiama sta cercando di darti un premio gratuito o di venderti qualcosa, chiedigli una prova che puoi utilizzare per verificare chi è e dove lavora. Se chi chiama si rifiuta di fornire queste informazioni, è meglio riagganciare.
Registra il tuo numero di telefono nel registro delle opposizioni. Il registro delle opposizioni blocca le chiamate non desiderate sul tuo numero. La maggior parte delle aziende legittime rispetta questo elenco, quindi se si riceve una chiamata da una società di telemarketing è un indicatore che la chiamata è un attacco vishing.
Non rispondere a e-mail o messaggi sui social media che richiedono il tuo numero di telefono. Questo è il primo passo in un attacco di vishing mirato. Segnala queste e-mail e messaggi al team di supporto cliente dell’APP.
