Potreste aver sentito questo scenario al telegiornale: qualcuno riceve una telefonata urgente dall'Agenzia delle Entrate in cui si afferma che deve una grossa somma di tasse non pagate e che un agente si presenterà alla sua porta se non paga immediatamente. Colto da uno stato di panico, l'obiettivo dell'attacco di vishing invia immediatamente un pagamento elettronico. Quando la vittima si accorge dell'errore, è troppo tardi: il suo istituto finanziario le comunica che il denaro è sparito.
Che cos'è un attacco di vishing?
Un attacco di vishing è un tipo di attacco di phishing in cui un attore di minacce utilizza tattiche di ingegneria sociale attraverso la comunicazione vocale per truffare un obiettivo. Il termine "vishing" è una combinazione di "voce" o "VoIP" (Voice over Internet Protocol) e "phishing". Il truffatore può cercare di convincere l'obiettivo a inviare denaro o a condividere una o tutte le seguenti informazioni sensibili:
- Nome
- Indirizzo
- Data di nascita
- Nomi utente
- Password
- Informazioni sulla carta di credito
- Dati bancari
- Numeri rilasciati dal governo (ad es. Security o assicurazione sociale).
Qual è la differenza tra vishing, smishing, quishing e phishing?
Il vishing, così come lo smishing e il quishing, possono essere considerati attacchi di phishing. Tutti e tre i tipi di attacchi si differenziano solo per i vettori di minaccia utilizzati. Il phishing esiste almeno dagli albori della posta elettronica e sia il vishing che lo smishing sono combinazioni della parola "phishing" e del metodo di comunicazione utilizzato. Il vishing (voice phishing) avviene attraverso la comunicazione vocale, mentre lo smishing (SMS phishing) utilizza i messaggi di testo SMS come mezzo di attacco. Il quishing è un attacco di phishing tramite codici QR fraudolenti.
Che cos'è un attacco di social engineering?
Varie forme di phishing, tra cui il vishing, possono utilizzare tattiche di social engineering. In termini di cybersecurity, l'ingegneria sociale è la manipolazione delle emozioni umane per ridurre il pensiero razionale di un obiettivo e cercare di convincerlo a completare un'azione discutibile. Vediamo alcuni modi in cui l'ingegneria sociale può rafforzare un attacco di vishing:
- Paura: durante una truffa al fisco, il truffatore può spaventare l'obiettivo e indurlo a pagare tasse false con la minaccia di essere imprigionato.
- Avidità: un cattivo attore può raccontare a un bersaglio di una finta vincita alla lotteria e chiedere il pagamento anticipato di tasse e imposte.
- Amore: Qualcuno di una banda criminale può fingersi un partner romantico per chiedere denaro per un viaggio aereo o per un'emergenza. Spesso queste truffe iniziano sui social media e poi si trasformano in attacchi di vishing.
- Rabbia: Un truffatore può manipolare la rabbia chiedendo donazioni contro un candidato politico impopolare, ad esempio.
- Compassione: Un falso ente di beneficenza può chiamare a freddo le persone, sperando di raccogliere denaro per un disastro, un'emergenza o un'altra causa apparentemente nobile. Allo stesso modo, in un classico esempio di truffa agli anziani, i truffatori possono prendere di mira gli anziani spacciandosi per loro parenti o conoscenti al telefono.
Come si fa il vishing?
Il vishing funziona combinando l'ingegneria sociale con gli strumenti di comunicazione vocale. Per sferrare l'attacco, un aggressore può utilizzare chiamate rapide, numeri di telefono internazionali o software Voice over Internet Protocol (VOIP). I truffatori possono anche inviare messaggi di testo fraudolenti che indirizzano le vittime a chiamarli attraverso link o numeri di telefono. Il vishing può colpire individui e organizzazioni. Un attore delle minacce può utilizzare questo tipo di attacco per raccogliere informazioni da un'azienda, ad esempio.
Esempio di attacco di vishing
Purtroppo, ogni anno molte persone vengono coinvolte in truffe di vishing. Spesso la minaccia di dovere del denaro a un'agenzia governativa è abbastanza convincente e spaventosa da indurre le vittime a pagare. Negli Stati Uniti, i truffatori di vishing spesso si fingono funzionari dell'Internal Revenue Service (IRS) che chiamano per riscuotere le tasse, minacciando il carcere se la vittima non paga quanto presumibilmente dovuto.
Lo stesso vale per il Canada, dove alcuni canadesi sono stati "visitati" da attori minacciosi che sostenevano di essere l'Agenzia canadese delle entrate (CRA). Una vittima di questa truffa ha descritto come si sia sentita stupida per esserci cascata e ha detto che questa è stata una delle parti più difficili dell'intera situazione.
A volte gli attacchi di vishing possono ritorcersi contro, come nel caso di Keniel Aeon Thomas della Giamaica che ha scelto il bersaglio sbagliato. Probabilmente il truffatore pensava di avere un bersaglio facile quando William Webster, 90 anni, ha risposto al telefono. Thomas disse al signor Webster che lui e sua moglie Lynda avevano vinto 15,5 milioni di dollari e una Mercedez-Benz. Ma prima di poter dividere la vincita con loro, i Webster avrebbero dovuto inviare un bonifico di 50.000 dollari per coprire le tasse. L'estorsore non sapeva che Webster era un ex direttore della CIA, dell'FBI e un giudice federale. La coppia ha contattato l'FBI in modo che un agente potesse ascoltare le telefonate e alla fine il truffatore ha finito per scontare la pena grazie alla prontezza di riflessi dei coniugi Webster.
Purtroppo, la maggior parte delle storie di vishing non finisce così bene. Prima di essere condannato, Thomas aveva truffato 30 persone per centinaia di migliaia di dollari. Ecco perché è importante riconoscere i tentativi di vishing o di truffa per proteggersi se si riceve la prossima chiamata.
Come fermare il vishing
Le persone che cadono vittime di attacchi di vishing possono essere ben informate del rischio, ma semplicemente colte di sorpresa. Gli attori delle minacce cambiano regolarmente le loro tattiche per cercare di ingannare le persone in modi sempre nuovi. Può capitare di ricevere una chiamata durante una giornata intensa, quando l'ultima cosa che ci si aspetta è un attacco di vishing, oppure il chiamante potrebbe utilizzare informazioni che suonano abbastanza familiari da risultare convincenti. Per stare all'erta ed essere pronti se ricevete una di queste chiamate, ecco alcune cose da ricordare:
- Prestate attenzione al tono dell'interlocutore. I truffatori possono anche usare un tono scortese o impaziente per dare l'impressione di essere urgenti o creare paura, a differenza dei dipendenti qualificati dell'organizzazione che dicono di rappresentare.
- Mantenete la calma e fate un bel respiro. Gli aggressori di vishing creano un falso senso di urgenza sfruttando le vostre emozioni. Non condividete informazioni sensibili al telefono senza aver verificato l'identità del chiamante. Potete cercare la loro organizzazione e chiamarli direttamente.
- Tenete alta la guardia anche se il chiamante è in possesso di alcune delle vostre informazioni. Ad esempio, potrebbe aver raccolto alcuni dei vostri dati pubblicamente disponibili su Internet, come il vostro nome, la vostra posizione o il vostro indirizzo IP.
- Controllate le chiamate con l'ID chiamante e non rispondete a numeri sconosciuti o sospetti. Aspettate che il chiamante vi lasci un messaggio vocale per decidere se richiamare o meno. Ricordate che molte truffe con chiamate rapide seguono un copione riconoscibile.
- Fate attenzione e riagganciate se sospettate che si tratti di un truffatore.
Come posso segnalare il vishing?
Negli Stati Uniti, contattate l'FTC e l'FBI per segnalare qualsiasi truffa di vishing, o l'agenzia di polizia competente nel vostro paese. Potete anche chiamare l'organizzazione che il truffatore sta utilizzando per cercare di manipolarvi, ad esempio rivolgendovi all'IRS se sospettate di essere l'obiettivo di una truffa del fisco. Se il chiamante dice di appartenere a una determinata organizzazione, cercate il numero di telefono ufficiale di quell'organizzazione e chiamatela direttamente per chiedere informazioni sulle chiamate.