Che cos'è il vishing?

Il vishing, o voice phishing, è un attacco di phishing che utilizza le chiamate telefoniche per ingannarti e indurti a fornire informazioni personali, riservate e sensibili, spesso relative a dettagli finanziari.

SCANSIONE DELL'IMPRONTA DIGITALE

Magari hai sentito di questo scenario nei notiziari: qualcuno riceve una telefonata urgente dall'IRS che sostiene che deve una grossa somma in tasse non pagate, e un ufficiale verrà a casa se non paga immediatamente. Preso dal panico, il bersaglio dell'attacco vishing invia immediatamente un pagamento elettronico. Quando la vittima si rende conto dell'errore, è troppo tardi — la sua banca le dice che i soldi sono andati.

Cos'è un attacco vishing?

Un attacco vishing è un tipo di attacco phishing in cui un malintenzionato utilizza tattiche di ingegneria sociale tramite comunicazioni vocali per truffare un bersaglio. La parola “vishing” è una combinazione di “voice” o “VoIP” (Voice over Internet Protocol) e “phishing”. Il truffatore può cercare di convincere il bersaglio ad inviargli denaro o a condividere uno o più dei seguenti dati sensibili:

  • Nome
  • Indirizzo
  • Data di nascita
  • Username
  • Password
  • Informazioni della carta di credito
  • Dati bancari
  • Numeri emessi dal governo (ad es. Sicurezza Sociale o Assicurazione Sociale)

Qual è la differenza tra vishing, smishing, quishing e phishing?

Il vishing, proprio come lo smishing e il quishing, può essere considerato un attacco di phishing. Tutti e tre i tipi di attacchi differiscono solo per i vettori di minaccia che utilizzano. Il phishing esiste sin dai primi giorni delle e-mail, e sia il vishing che lo smishing sono combinazioni della parola "phishing" con il metodo di comunicazione utilizzato. Il vishing (voice phishing) avviene tramite comunicazione vocale, mentre lo smishing (SMS phishing) utilizza i messaggi di testo SMS come mezzo di attacco. Il quishing è un attacco di phishing tramite codici QR fraudolenti.

Che cos'è un attacco di ingegneria sociale?

Varie forme di phishing, incluso il vishing, possono impiegare tattiche di ingegneria sociale. In termini di cybersecurity, l'ingegneria sociale è la manipolazione delle emozioni umane per ridurre il pensiero razionale di un bersaglio al fine di indurlo a compiere un'azione dubbiosa. Vediamo alcuni modi in cui l'ingegneria sociale può rafforzare un attacco vishing:

  • Paura: Durante una truffa IRS, un truffatore può spaventare un bersaglio a pagare tasse fasulle con minacce di imprigionamento.
  • Avidità: Un malintenzionato può dire a un bersaglio di aver vinto una lotteria fasulla e chiedere un pagamento anticipato per tasse e commissioni.
  • Amore: Qualcuno di una banda criminale può fingere di essere un partner romantico per chiedere soldi per un viaggio in aereo o un'emergenza. Spesso, tali truffe iniziano sui social media e poi si sviluppano in attacchi vishing.
  • Rabbia: Un truffatore può manipolare la rabbia chiedendo donazioni contro un candidato politico impopolare, ad esempio.
  • Compassione: Una finta associazione benefica può chiamare a freddo le persone, sperando di raccogliere denaro per una catastrofe, un'emergenza o un'altra causa apparentemente nobile. Allo stesso modo, in un classico esempio di frode agli anziani, i truffatori possono prendere di mira gli anziani fingendosi loro parenti o conoscenti al telefono.

Come si attua il vishing?

Il vishing funziona combinando l'ingegneria sociale con strumenti di comunicazione vocale. Un attaccante può utilizzare chiamate automatiche, numeri di telefono internazionali o software Voice over Internet Protocol (VOIP) per lanciare un attacco. I truffatori possono anche inviare messaggi di testo fraudolenti che invitano le vittime a chiamarli tramite link o numeri di telefono. Il vishing può colpire individui e organizzazioni. Un attore minaccioso può usare questo tipo di attacco per raccogliere informazioni da un'azienda, per esempio.

Esempio di attacco vishing

Sfortunatamente, molte persone cascano nelle truffe vishing ogni anno. Spesso la minaccia di dover soldi a un'agenzia governativa è abbastanza convincente e spaventosa da indurre le vittime a pagare. Negli Stati Uniti, i truffatori vishing spesso si spacciano per ufficiali dell'Internal Revenue Service (IRS) che chiamano per riscuotere le tasse, minacciando il carcere se la vittima non paga quanto deve.

Lo stesso accade in Canada, dove un certo numero di canadesi è stato "vished" da attori malintenzionati che sostengono di essere la Canadian Revenue Agency (CRA). Una vittima di questa truffa ha descritto come si sia sentito stupido per esserci cascato, dicendo che era una delle parti più difficili dell'intera situazione per lui.

A volte, gli attacchi di vishing possono fallire clamorosamente, come quando Keniel Aeon Thomas della Giamaica ha scelto il bersaglio sbagliato. Il truffatore probabilmente pensava di avere un facile bersaglio quando il novantenne William Webster ha risposto al telefono. Thomas ha raccontato al signor Webster che lui e sua moglie Lynda avevano vinto 15,5 milioni di dollari e una Mercedes-Benz. Ma prima di poter condividere le vincite con loro, i Webster avrebbero dovuto inviare un bonifico bancario di 50.000 dollari per coprire le tasse. Poco sapeva l'estorsionista che Webster era un ex Direttore della CIA, dell'FBI e un giudice federale. La coppia ha contattato l'FBI affinché un agente potesse ascoltare le chiamate, e alla fine, il truffatore è finito in prigione grazie alla prontezza di spirito dei Webster.

Sfortunatamente, la maggior parte delle storie di vishing non finisce così bene. Prima che Thomas venisse condannato, aveva truffato 30 persone per centinaia di migliaia di dollari. Ecco perché è importante riconoscere i tentativi di vishing o chiamate truffa per proteggerti se ricevi la prossima chiamata.

Come fermare il vishing

Le persone che cadono vittime degli attacchi di vishing possono essere ben informate del rischio, ma semplicemente colte di sorpresa. Gli attori minacciosi cambiano regolarmente le loro tattiche per cercare di ingannare le persone in modi nuovi. Potresti rispondere a una chiamata durante una giornata impegnativa quando l'ultima cosa che ti aspetti è un attacco vishing, o l'interlocutore potrebbe usare informazioni che sembrano abbastanza familiari da essere convincenti. Per rimanere vigile e pronto se ricevi una di queste chiamate, ecco alcune cose da ricordare:

  • Presta attenzione al tono del chiamante. I truffatori possono anche usare un tono sgarbato o impaziente per implicare urgenza o creare paura, a differenza dei dipendenti formati dell'organizzazione che affermano di rappresentare.
  • Rimani calmo e respira. I trasgressori di vishing creano una falsa sensazione di urgenza sfruttando le tue emozioni. Non condividere informazioni sensibili al telefono senza verificare l'identità del chiamante. Puoi cercare la loro organizzazione e chiamarli direttamente.
  • Mantieni alta la guardia anche se il chiamante ha alcune tue informazioni. Ad esempio, potrebbero aver raccolto alcuni dei tuoi dati pubblicamente disponibili su Internet, come nome, posizione o indirizzo IP.
  • Filtra le tue chiamate con il Caller ID e non rispondere a numeri sconosciuti o sospetti. Aspetta che il chiamante ti lasci un messaggio vocale per decidere se richiamare. Ricorda, molte truffe con chiamate automatiche seguono uno schema riconoscibile.
  • Sii cauto e semplicemente riattacca se sospetti che si tratti di un truffatore.

Come posso segnalare il vishing?

Negli Stati Uniti, contatta l'FTC e l'FBI per segnalare eventuali truffe vishing, oppure l'agenzia di law enforcement appropriata nel tuo paese. Puoi anche contattare l'organizzazione che un truffatore sta usando per cercare di manipolarti, ad esempio contattare l'IRS se sospetti di essere il bersaglio di una truffa IRS. Se il chiamante dice di essere con una certa organizzazione, cerca il numero di telefono ufficiale di quell'organizzazione e chiamali direttamente per chiedere informazioni sulle chiamate. 

Articoli correlati