Phishing vocale: proteggiti dal vishing
Il phishing rimane oggi uno dei principali vettori di attacchi informatici, ma una sua variante sta rapidamente guadagnando terreno: il vishing.
Conosciuto anche come «phishing vocale» o «phishing telefonico», il vishing consiste nel manipolare una vittima al telefono con l'obiettivo di sottrarle informazioni sensibili.
Sebbene l'uso del telefono a fini fraudolenti non sia una novità, negli ultimi anni si è assistito a un perfezionamento dei metodi che ha portato a un vero e proprio cambiamento di portata.
Questo fenomeno è dovuto all'evoluzione tecnologica e alla diffusione delle informazioni personali disponibili online. I criminali informatici sfruttano questi dati per personalizzare i propri attacchi, rendendo il loro approccio sempre più convincente e quindi pericoloso.
Il successo del phishing vocale risiede nella sua semplicità di esecuzione e nella sua formidabile efficacia. Facendo leva sulla fiducia, sull'urgenza o sulla paura, gli hacker manipolano psicologicamente le loro vittime per ottenere informazioni riservate, come credenziali, password o dati bancari.
Comprendere i meccanismi di questa minaccia crescente è quindi fondamentale per proteggersi ed evitare di diventare la prossima vittima.
Phishing vocale: definizione e contesto
Che cos'è il vishing?
Il termine «vishing» deriva dalla fusione delle parole inglesi «voice» (voce) e «phishing» (phishing). Il vishing è quindi l'equivalente vocale del phishing, che si basa invece sui messaggi elettronici. È per questo motivo che talvolta viene definito «phishing telefonico».
Ma allora, in cosa consiste il phishing vocale? L'obiettivo rimane lo stesso: rubare dati personali, informazioni finanziarie o accessi sensibili a sistemi informatici.
Per raggiungere questo obiettivo, gli hacker ricorrono a tecniche di ingegneria sociale. Si tratta di un metodo che si basa sulla manipolazione psicologica della vittima, sfruttando emozioni quali la paura, il rispetto per l'autorità, il senso di urgenza, l'empatia o ancora la fiducia.
In generale, il successo del vishing dipende dalla capacità dell'autore dell'attacco di ispirare fiducia. A tal fine, il truffatore raccoglie informazioni sul proprio bersaglio per rendere credibile il proprio discorso ed evitare di destare sospetti.
I vishers si presentano spesso come professionisti o rappresentanti delle autorità amministrative, il che rafforza l'apparente legittimità delle loro attività fraudolente.
In effetti, gli attacchi di phishing vocale più diffusi sono le truffe che simulano il servizio di assistenza tecnica e quelle che simulano il consulente bancario.
Perché il phishing vocale sta prendendo rapidamente piede?
Da diversi anni gli esperti di sicurezza informatica rilevano un forte aumento degli attacchi di phishing vocale.
Tuttavia, è difficile distinguere le statistiche relative al vishing da quelle relative ad altri attacchi di ingegneria sociale, e spesso vengono raggruppate insieme agli attacchi di phishing. Ciò è tanto più vero in quanto gli attacchi di vishing sono spesso di tipo ibrido e utilizzano come punto di ingresso un’e-mail di phishing.
La pandemia di COVID-19 ha probabilmente avuto un ruolo significativo nello sviluppo e nella diffusione del phishing vocale. Con la diffusione su larga scala del telelavoro, molte aziende e privati hanno dovuto adattarsi rapidamente, spesso senza mettere in atto misure di sicurezza adeguate.
I criminali informatici hanno approfittato di questa transizione, sfruttando le vulnerabilità legate all'isolamento dei dipendenti e alla decentralizzazione dei sistemi di sicurezza.
Anche l'evoluzione delle abitudini comunicative e i progressi tecnologici sono tra le cause dello sviluppo del phishing vocale. I truffatori hanno ora un accesso molto più facile a strumenti sofisticati, che stanno diventando sempre più potenti, più facili da utilizzare e meno costosi.
Inoltre, la diffusione delle informazioni personali disponibili online, spesso derivanti da fughe di dati o dalla loro divulgazione sui social media, consente ai criminali informatici di personalizzare i propri attacchi per renderli più credibili.
Eppure, se gli attacchi di phishing vocale stanno prendendo piede, è proprio perché sono molto efficaci. Richiedono certamente un maggiore impegno da parte degli aggressori, che devono elaborare scenari credibili e raccogliere informazioni sulla vittima, ma ne vale la pena.
Infatti, la Federal Trade Commission statunitense rileva che gli attacchi di «vocal phishing» causano alle vittime perdite finanziarie quasi tre volte superiori rispetto agli attacchi di phishing.
Il tipico svolgimento di un attacco di vishing
Il vishing comprende una vasta gamma di metodi e strumenti. Tuttavia, un attacco tipico si svolge in quattro fasi.
1. Identificazione della vittima: i truffatori raccolgono informazioni sulla loro vittima tramite i social network, elenchi di aziende o associazioni disponibili online o provenienti da fughe di dati.
2. Primo contatto: la chiamata può essere automatizzata oppure effettuata direttamente dal truffatore. In alcuni casi, i truffatori inviano prima un’e-mail di phishing in cui chiedono alla vittima di chiamare un numero.
3. Manipolazione emotiva: l'interlocutore spesso invoca una situazione di urgenza (spese non pagate, problema di sicurezza, aggiornamento del software) oppure si finge un ente affidabile (banca, ente pubblico, fornitore di servizi informatici) per ottenere i dati richiesti.
4. Utilizzo delle informazioni: i dati ottenuti vengono utilizzati per truffe immediate o successive, trasferimenti di denaro o attacchi più complessi.4
Chi può essere vittima di vishing?
I privati, bersaglio tradizionale del phishing vocale
I privati sono i bersagli preferiti del phishing vocale. Spesso sono poco consapevoli dei rischi e, per definizione, hanno accesso diretto ai propri dati personali, in particolare a quelli bancari.
Infatti, secondo il rapporto annuale 2023 di Cybermalveillance.gouv.fr, gli attacchi sotto forma di finto servizio di assistenza tecnica rappresentano quasi il 10% delle segnalazioni provenienti da privati.
Le truffe perpetrate da falsi consulenti bancari sono aumentate del 78% tra il 2022 e il 2023, dopo essere state classificate nel 2022 tra le «nuove forme di cybercriminalità».
Tuttavia, il vishing non si limita alla sfera privata e oggi anche il mondo del lavoro ne è altrettanto bersaglio, anche se poche aziende ne sono sufficientemente consapevoli.
Il mondo del lavoro: il nuovo Eldorado del vishing
I professionisti, in particolare coloro che ricoprono ruoli che consentono loro di accedere a dati finanziari o strategici all'interno delle organizzazioni, sono particolarmente vulnerabili.
Anche le amministrazioni, gli enti locali e altri organismi pubblici rappresentano obiettivi allettanti a causa delle informazioni critiche di cui dispongono e dei fondi che gestiscono, talvolta con procedure di sicurezza meno rigorose.
Gli hacker si spacciano spesso per fornitori, chiedendo di modificare i dati di pagamento delle fatture, oppure per dirigenti o amministratori aziendali, al fine di autorizzare bonifici bancari fraudolenti con la scusa di un'urgenza.
Anche i servizi informatici sono oggetto di attacchi, con i truffatori che cercano di ottenere password o informazioni di accesso sensibili per penetrare nei sistemi aziendali e sferrare successivamente attacchi mirati.
IA e vishing: quando la tua voce diventa una minaccia
Come riconoscere un tentativo di vishing?
Nessuno può ritenersi al riparo dal phishing vocale. Oggi questi attacchi sono talmente precisi e condotti con tale professionalità che chiunque può potenzialmente esserne vittima.
Per evitare di cadere nella trappola, ci sono alcuni segnali di allarme che dovrebbero farvi reagire durante una telefonata.
1. Numero nascosto, esterno o sconosciuto
La chiamata proviene spesso da un numero nascosto, sconosciuto, da un numero esterno all'azienda o da un numero falsificato che assomiglia a quello di un'azienda legittima. È importante mantenere un atteggiamento scettico quando si risponde al telefono.
2. Senso di urgenza, di pressione, di paura, …
Il truffatore ricorre a tecniche di ingegneria sociale per spingerti a reagire in fretta e impedirti di riflettere (ad esempio, adducerà come pretesto un problema tecnico da risolvere al più presto).
3. Richiesta di informazioni sensibili o insolite
L'autore dell'attacco richiede dati riservati, come password, codici PIN o numeri di carte di credito, con il pretesto di effettuare delle verifiche. Tenete presente che queste informazioni non devono mai essere comunicate (e quindi richieste) per telefono.
4. Conquistare la fiducia dell'interlocutore
Per guadagnarsi la vostra fiducia, l'autore dell'attacco potrebbe utilizzare informazioni personali reperite sui social media, negli organigrammi aziendali o a seguito di fughe di dati. Mantenete le distanze dall'interlocutore senza considerare tali informazioni come un segno di affidabilità.
Cosa fare in caso di tentativo di phishing vocale?
I segnali di allarme individuati durante una conversazione vi fanno pensare che si tratti di un tentativo di vishing? Interrompete immediatamente la conversazione e segnalate il tentativo ai vostri colleghi e al vostro servizio di sicurezza. In caso di dubbio, proseguite la conversazione con cautela, tenendo presenti questi principi fondamentali:
1. Verificate l'identità dell'interlocutore
Cercate di capire chi vi sta chiamando ponendo delle domande al vostro interlocutore. Se si tratta di qualcuno che vi conosce davvero, saprà rispondere a domande precise, a differenza di un impostore.
In caso di dubbio, potete anche proporre di richiamare l'interlocutore su un numero affidabile e conosciuto, preferibilmente da un altro telefono.
2. Mantieni la calma e rifletti
I truffatori spesso fanno leva sul panico o sulla fretta. Prendetevi il tempo di riflettere prima di rispondere o agire. Il vostro istinto e l'ascolto delle vostre emozioni sono alleati nella lotta contro il vishing. Se avete la sensazione che qualcosa non quadri, prendete le distanze per verificare la vostra impressione.
3. Evitate di fornire informazioni spontaneamente
In caso di dubbio, parlate il meno possibile e lasciate che sia il vostro interlocutore a rivelarsi. Non fornite mai i vostri dati personali, anche se l'interlocutore sembra sapere molto su di voi e anche se insiste sull'urgenza dell'azione da intraprendere.
4. Evitate di compiere qualsiasi azione che vi sembri sospetta
In caso di dubbio, evitate di compiere azioni sospette come cliccare su un link, inserire il vostro nome utente o la vostra password, modificare le impostazioni del computer, ecc. Anche in questo caso, prendetevi il tempo necessario per riflettere prima di agire.
Conclusione: come proteggersi dal phishing vocale?
Come abbiamo visto, il vishing è un tipo di attacco relativamente semplice da mettere in atto ma molto efficace, e che tende a diffondersi in modo preoccupante.
Come per qualsiasi attacco di ingegneria sociale, la migliore difesa è una consapevolezza dei pericoli che comporta il vishing. Prendere le distanze, essere scettici e prudenti può aiutarvi a sventare un tentativo di phishing vocale.
Teniamo presente che il successo di questo attacco dipende in gran parte dalle informazioni raccolte dall'autore dell'attacco, che gli consentiranno di legittimare la sua azione e di conquistare la vostra fiducia.
Pertanto, evitate il più possibile di pubblicare informazioni personali o professionali sui social network e su Internet (newsletter, programmi fedeltà, ecc.) e limitate al minimo indispensabile i dati condivisi (ad esempio, l'iscrizione a una newsletter non dovrebbe comportare la comunicazione del vostro numero di telefono o del vostro indirizzo postale).
Seguendo questo consiglio, si limita la quantità di informazioni che un malintenzionato potrebbe potenzialmente raccogliere su di voi e si riduce di fatto la vostra esposizione alle tecniche di ingegneria sociale.
Infine, il modo migliore per valutare il livello di rischio della vostra organizzazione di fronte al vishing è quello di organizzare una simulazione per mettere alla prova, in condizioni reali, le reazioni dei vostri collaboratori. Sarete così in grado di adeguare le vostre procedure in base alle raccomandazioni fornite al termine della simulazione di vishing.
Scopri se la tua organizzazione è pronta ad affrontare un attacco di vishing con PrimadiClicca.
