vishing

Vishing: cos'è, perché è pericoloso e come difendersi

Il vishing è un tipo di truffa al confine tra vecchio e nuovo, un pericoloso mix tra tecnologia e ingegneria sociale
Vishing: cos'è, perché è pericoloso e come difendersi FASTWEB S.p.A.

Molti sanno cos'è il phishing, ovvero il furto delle credenziali di siti web o servizi, qualcuno conosce anche lo smishing via SMS, ma in pochi conoscono il pericolo reale che si trasforma dietro il vishing, ovvero l'appropriazione da parte di cybercriminali delle chiavi di accesso per via telefonica.

Sembra una pratica semplice da smascherare, eppure sono tantissime le persone che ogni anno cadono vittime degli hacker, con questa particolare truffa che affonda le radici nel passato ma alla quale sono state applicate nuove tecniche per essere sempre più efficaci.

Vishing, quanti sono i truffati?

vishing

Secondo Verizon, una tra le più importanti società di telecomunicazioni statunitensi, il numero di vittime da vishing è particolarmente alto. Di tutte le violazioni, rappresenta ben il 30% grazie a un'intensificazione dei tentativi di appropriarsi di credenziali, principalmente per l'accesso da remoto alle reti aziendali.

Anche la Cybersecurity and Infrastructure Security Agency (CISA) e l'FBI, durante l'agosto 2020, sono state costrette a occuparsi di questo problema sempre più in crescita, vista l'ondata di attacchi diretti al settore del privato a stelle e strisce. Addirittura, gruppi di cybercriminali offrono i loro servigi per effettuare attacchi di vishing in cambio di lauti compensi.

Vishing, cos'è e come funziona?

vishing

Solitamente, la truffa vera e propria basata sul vishing inizia con una telefonata. Dopo aver raccolto informazioni dettagliate sulla persona o sul servizio sul quale si effettuerà la truffa un hacker, spacciandosi per un operatore dell'assistenza clienti o del supporto tecnico, provvede a contattare il malcapitato.

Fornendo un link a un sito web fasullo, ma perfettamente credibile, l'hacker chiede all'utente di inserire le proprie credenziali per l'accesso al vero sito web, provvedendo a registrarle all'istante. Se necessario, può essere richiesta anche l'autorizzazione a più fattori, in modo da poter avere una panoramica completa dei dati da rubare. Completata la telefonata il misfatto è compiuto: l'hacker è in possesso dei dati dell'ignaro utente. In alternativa, alcuni hacker che mirano ai dati aziendali possono agire in maniera ancora più subdola, anticipando alcune mosse.

Attraverso la comparsa sul proprio pc di un avviso pop-up, nel quale si avvisa l'utente di una violazione dei propri dati, i criminali invitano l'utente a effettuare una chiamata telefonica direttamente al falso help desk. Una volta al telefono, il finto operatore convince l'ignara persona a installare sul proprio computer un tool per il controllo da remoto della macchina. Ecco che viene installato un malware sul computer, in grado di carpire qualsiasi tipo di informazione in esso depositato o digitata durante l'utilizzo.

Vishing, la truffa dell'email

vishing

Un'altra modalità di attacco da parte degli hacker che utilizzano il vishing per carpire le informazioni delle proprie vittime è quello dell'invio di una email, nel quale è riportata la segnalazione di un'operazione sospetta, un accesso non riconosciuto o un altra informazione che fa scattare nell'utente un immediato sospetto. A volte, la stessa cosa può accadere anche via sms, sempre con lo stesso modus operandi.

Cliccato sul link riportato all'interno della comunicazione, la vittima si ritrova a navigare ancora una volta su un sito fake ben costruito, talmente credibile da spingere l'utente a inserire i propri dati di accesso o a chiamare l'assistenza, attraverso il numero di telefono in esso riportato. Se l'operazione è effettuata da cellulare, è possibile che sia direttamente l'hacker a telefonare all'utente, proprio sul numero collegato al dispositivo mobile, spacciandosi per l'assistenza del servizio a cui si sta tentando di accedere.

Tra un'informazione e l'altra, il falso supporto provvede a richiedere le credenziali di accesso, i codici di sicurezza o qualsiasi altra informazione importante per accedere. Ecco che in pochi minuti la truffa è compiuta.

Vishing, come difendersi dalle chiamate telefoniche

vishing

Mai fornire i propri dati di accesso, a meno che non si sia assolutamente certi di sapere con chi si sta parlando. Sembra un consiglio banale ma è alla base della difesa dalla maggior parte dei tentativi di truffa, soprattutto se si hanno dei dubbi su quanto si apprende dall'operatore e se in ballo ci sono informazioni talmente importanti da mettere a repentaglio dati finanziari o legati al settore lavorativo.

Un'altra tecnica da seguire, in questi casi, è di verificare l'identità del chiamante chiedendo il numero di telefono e provvedendo a richiamarlo, anche successivamente a una breve ricerca sul web. In alternativa, meglio non fare affidamento sui pop up che possono comparire durante la navigazione, soprattutto controllando l'indirizzo del sito web sul quale si sta navigando.

Meglio seguire sempre i canali ufficiali, spiegando l'accaduto e verificando tramite il supporto verificato se si tratta di servizi affidabili o meno. Inoltre, è importante sapere quali sono i dati che potrebbero essere richiesti durante una telefonata di supporto, sia che si tratti di assistenza clienti che di help desk. I codici di sblocco e le chiavi di accesso a più fattori non vengono solitamente richiesti in quanto l'operatore stesso è in possesso di metodi, forniti dall'istituto o dall'azienda stessa, per accedere a particolari informazioni.

Se la richiesta non appare credibile, meglio riagganciare e provare a richiamare successivamente comunicando in maniera chiara i fatti. Sembra banale specificarlo ma, in caso di richiesta di bonifici o denaro, è sempre corretto dire di no. Nessun operatore, neanche di banca, può richiedere trasferimenti di denaro per effettuare operazioni di verifica o similari: meglio dunque evitare di mettere nelle mani di qualche malintenzionato i propri risparmi di una vita, spalancando la porta a ulteriori truffe.

Nel remoto e sfortunato caso si sia caduti nelle trappole del vishing, la prima cosa da fare è quella di denunciare alle Forze dell'Ordine l'accaduto, segnalando tutto il procedimento e ricevendo consigli su come procedere in futuro. Le truffe sono sempre più mirate per raggiungere il risultato in maniera rapida ed efficace: con gli strumenti giusti, però, si possono evitare ulteriori danni e rimediare al pregresso.

Copyright CULTUR-E
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail