Cosa si intende per vishing: definizione
Si parla di vishing, o phishing vocale, quando una persona o un'azienda apparentemente rispettabile utilizza chiamate telefoniche o servizi di messaggistica vocale per indurre le vittime a rivelare informazioni personali. In un attacco di vishing, i truffatori (detti anche "visher") si fingono fonti attendibili per ottenere informazioni sensibili, come numeri di carte di credito o altri dati riservati.
I truffatori che ricorrono a tecniche di vishing sono soliti contattare le vittime falsificando un numero telefonico locale o quello di un'azienda affidabile. Talvolta essi sfruttano il vishing per inserire nel dispositivo della vittima malware che successivamente potranno utilizzare per recuperare informazioni personali.
Chiunque possieda un numero di telefono può essere preso di mira dal vishing, sia che si tratti di privati che di aziende. Ricorrendo a sofisticate tecniche di ingegneria sociale, il vishing può colpire proprio tutti.
Vishing e phishing
Il termine phishing indica qualsiasi tipo di truffa in cui i criminali si fingono fonti legittime per manipolare le vittime, inducendole a rivelare informazioni personali. Il termine vishing si riferisce invece a una delle tipologie di phishing, in particolare alle truffe di phishing vocale, ovvero attacchi di phishing tramite telefono o messaggi vocali.
Il phishing si presenta tuttavia anche in molte altre forme. Quando un truffatore prende di mira un particolare individuo o una determinata organizzazione, ad esempio, si parla di spear phishing. Il social media phishing si presenta con un post apparentemente innocuo sulla tua bacheca Facebook in cui ti viene richiesto di rispondere a semplici domande di sicurezza. Per le truffe di phishing messe in atto tramite messaggi SMS, invece, si parla di smishing.
Indipendentemente dal metodo, tutti gli attacchi di phishing hanno lo stesso obiettivo: ottenere informazioni personali per rubare denaro, commettere furti di identità o sfruttare i dati sensibili delle vittime.
Esempi comuni di attacchi di vishing
Al giorno d'oggi si assiste continuamente alla comparsa di nuove truffe di vishing, associate a svariate tipologie e tecniche di esecuzione. Alcune delle tecniche di vishing più comuni sono il wardialing, il vishing VoIP, lo spoofing dell'ID chiamante e il dumpster diving. Le truffe fiscali e sanitarie sono all'ordine del giorno quando si parla di vishing.
Ecco alcuni esempi di attacchi di vishing:
Wardialing
Il wardialing (anche scritto war dialing) consiste nell'utilizzo di software che scansiona automaticamente gli elenchi telefonici e compone rapidamente decine di numeri. Tale software viene spesso utilizzato per trovare numeri di telefono collegati a dispositivi di telefonia che, pur non essendo veri telefoni, sono comunque in grado di effettuare chiamate tramite Internet.
Solitamente programmato per riagganciare, il software potrebbe sembrare niente più che una scocciatura per chi risponde al telefono, ma in realtà gli hacker usano il wardialing con lo scopo ben più nefasto di trovare utenti reali con un account VoIP (Voice over Internet Protocol) da prendere di mira. Il wardialing viene utilizzato anche nelle truffe robocall, cioè truffe basate su messaggi preregistrati anziché a opera di truffatori in carne e ossa.
VoIP
Più che ai numeri di rete fissa, il vishing punta ai numeri collegati tramite VoIP. I servizi VoIP funzionano come i numeri di telefono fisso o di cellulare, ma si avvalgono esclusivamente di Internet. I numeri di telefono VoIP non dipendono necessariamente da una specifica posizione fisica. Basta avere una connessione Internet per effettuare chiamate in tutto il mondo con lo stesso numero.
Sebbene il VoIP presenti evidenti vantaggi, l'anonimato e la mancanza di specificità geografica ne facilitano lo sfruttamento da parte di potenziali truffatori. I visher possono scaricare e configurare il proprio software, preparare uno script e darsi alla pazza gioia con le chiamate senza costi aggiuntivi al di fuori della connessione Internet. Il tutto nell'anonimato più totale.
Spoofing dell'ID chiamante
Un altro strumento utilizzato dai visher è lo spoofing dell'ID chiamante. Spesso offerto tra i servizi VoIP, lo spoofing dell'ID chiamante (da non confondere con lo spoofing IP) è un'attività che induce la vittima a pensare che il chiamante sia qualcun altro. Nel vishing i truffatori si fingono una fonte ufficiale o locale per indurre la vittima a rispondere. Grazie alle moderne tecnologie, è facile farla franca con lo spoofing dell'ID chiamante.
Dumpster diving
Il dumpster diving consiste nel rovistare nella spazzatura altrui nella speranza di trovare un tesoro. Per i truffatori il tesoro è rappresentato da tutte le informazioni personali stampate su documenti gettati via con noncuranza in ambito domestico o aziendale. Tali informazioni possono includere numeri di telefono, nomi, indirizzi, dati di carte di credito e non solo, tutti elementi utili ai truffatori per indurre le vittime a fidarsi.
Frodi con le carte di credito
Le truffe delle carte di credito sono tra gli esempi più comuni di vishing. Il truffatore dice di chiamare dall'istituto che ha emesso la carta di credito e avvisa che la carta è stata compromessa. Chiede le credenziali del malcapitato per "risolvere" il problema. Una volta ottenute queste informazioni, la chiamata viene conclusa sbrigativamente e la vittima si ritrova con il plafond della carta esaurito.
Truffe mediche o di previdenza sociale
Le truffe mediche o di previdenza sociale vengono condotte da un impostore che si finge un funzionario ufficiale di qualche ente governativo. L'impostore afferma in genere che c'è un problema con l'account oppure offre una nuova prepagata, in entrambi i casi chiedendo informazioni personali che non andrebbero mai divulgate con superficialità. Di solito le truffe di vishing di questo tipo prendono di mira gli anziani, tendenzialmente più fiduciosi al telefono e meno informati su tecnologie e truffe.
Truffe fiscali
Le truffe fiscali, ovvero quelle in cui i truffatori si presentano come funzionari del fisco, hanno avuto una grande diffusione negli ultimi anni. I truffatori sostengono che c'è qualcosa che non va nella dichiarazione dei redditi oppure che la vittima deve corrispondere imposte aggiuntive. Chiedono poi di verificare l'identità rivelando informazioni riservate. Di fronte all'iniziale rifiuto della vittima, i truffatori minacciano di ritirare la carta o prefigurano addirittura l'arresto per chi non vorrà conformarsi alle richieste.
Come si svolgono le truffe di vishing
I criminali del vishing operano combinando espedienti tecnici, ad esempio lo spoofing dell'ID chiamante e le chiamate tramite Internet, all'ingegneria sociale. Utilizzando informazioni note sulle vittime, riescono a manipolarle con più facilità, irretendole nelle loro truffe di vishing.
L'ingegneria sociale fa leva sulla tendenza innata a fidarsi delle istituzioni o di determinate forme di comportamento per indurre le persone a compiere certe azioni. I truffatori di vishing si fingono fonti attendibili, ad esempio funzionari bancari o governativi. I truffatori dell'assistenza tecnica fanno finta di essere esperti in materia per ottenere fiducia e convincere le vittime a installare malware o cedere l'accesso al proprio dispositivo. Indipendentemente dall'obiettivo finale, l'ingegneria sociale è spesso il mezzo utilizzato dai truffatori per ottenere le informazioni desiderate.
Generare un senso di urgenza è un'altra tattica usata dai truffatori. In qualità di fonti attendibili, i visher spesso enfatizzano la gravità e l'impellenza del presunto problema per convincere le vittime ad agire rapidamente. Così facendo, le vittime saranno meno inclini a fare domande o a verificare la veridicità delle affermazioni del truffatore, cadendo più facilmente nella trappola.
Come prevenire le truffe di vishing
Per prevenire le truffe di vishing, non rispondere alle chiamate da numeri sconosciuti e non fornire informazioni private per telefono. Se sospetti che il chiamante sia un truffatore, riattacca. Tenendo a mente questi suggerimenti e imparando a riconoscere il vishing e altre truffe di phishing sarà più facile non esserne colpiti.
Il successo delle truffe di vishing dipende dall'errore umano e la prevenzione del vishing si basa sulla consapevolezza delle vulnerabilità umane. Gli esempi di vishing presentati sopra ti consentono di capire quando è il momento di stare in guardia.
Non devi mai fornire o confermare informazioni private per telefono. In genere, la maggior parte delle aziende non chiama per chiedere informazioni di questo tipo. Non richiamare i numeri di telefono per assicurarti che siano legittimi: usa piuttosto Google o un'altra fonte affidabile per trovare le informazioni di cui hai bisogno.
Se la telefonata ti sembra sospetta, chiedi al chiamante dettagli più specifici, i motivi della chiamata o come ha ottenuto il tuo numero. Anche se può sembrarti scortese, riattacca se sospetti una truffa.
Anche se i truffatori di vishing hanno già informazioni personali sul tuo conto, non confermarle mai per telefono.
L'inclusione del tuo numero nel Registro delle opposizioni può impedire in parte le chiamate commerciali indesiderate, ma non può certo fare miracoli. Dopotutto, i truffatori non sono esattamente disposti ad accogliere le richieste di non ricevere chiamate indesiderate.
Se non ricevi spesso chiamate da numeri non identificati, puoi semplicemente evitare di rispondere a qualsiasi numero sconosciuto. Se un visher lascia un messaggio affermando di far parte di un'organizzazione nota, contatta direttamente l'organizzazione in questione anziché richiamare.
Molte di queste strategie di prevenzione sono efficaci contro truffe di ogni tipo, sia online che offline, ma per proteggere meglio te e le tue informazioni private ciò che può fare una grande differenza è rafforzare la sicurezza online con strumenti e software antivirus.
Proteggiti dalle truffe di vishing con AVG BreachGuard
Per mettere le mani sui tuoi dati personali, i truffatori non si fermano davanti a nulla, nemmeno alla spazzatura. Sfortunatamente, mantenere al sicuro i tuoi dati privati può essere difficile, considerati i tanti account e servizi online che vi hanno accesso.
AVG BreachGuard rende facile mantenere privati i tuoi dati, esaminando costantemente il Dark Web alla ricerca di prove di violazioni dei dati che includono le tue informazioni. Monitoraggio rischi integrato di BreachGuard funziona 24 ore su 24, 7 giorni su 7, e ti avvisa al verificarsi di una violazione dei dati.
AVG BreachGuard ti aiuta inoltre a mantenere il controllo dei tuoi dati personali, richiedendo automaticamente ai broker di dati di rimuovere le tue informazioni dai loro database e impedendo così a terzi (truffatori inclusi) di ottenere il tuo indirizzo, il tuo numero di telefono e altri dati privati.
AVG BreachGuard ti aiuta a proteggere le tue informazioni e a essere consapevole di quali informazioni personali condividi con le grandi organizzazioni. Scarica subito AVG BreachGuard e inizia a proteggerti da visher e altri truffatori prima che sia troppo tardi.