Dopo BEC e Smishing, a farsi strada tra le mille varianti phising arriva il Callback Phishing, più insidioso e sofisticato del tradizionale vishing.
Superati i link e gli allegati malevoli, nel callback phishing l’obiettivo principale è indurre la vittima a richiamare un numero di telefono fraudolento, intestato direttamente agli hacker.
Il tutto viene mascherato come una richiesta di (ri)contatto legittima, spacciata solitamente come proveniente da un istituto finanziario o da un fornitore di servizi informatici.
Analizziamo quindi in dettaglio caratteristiche e modus operandi del phishing nella sua variante Callback.
- Phishing: origini ed evoluzione
- Callback Phishing: dentro la minaccia
- Callback phishing: il caso BazarCall
- Come difendersi dal phishing
- Conclusioni
Phishing: origini ed evoluzione
Il phishing è uno degli attacchi informatici che meglio ha saputo adattarsi ad evoluzioni sociali e tecnologiche.
La sua evoluzione, infatti, si può riassumere in molteplici step, ognuno caratterizzato da una specifica modalità operativa:
- Anni ’90: le origini si caratterizzano per rudimentali tentativi di truffa via e-mail, con messaggi standardizzati e spesso caratterizzati da refusi e grafiche di scarsa qualità
- Primi anni 2000: viene introdotto il concetto di personalizzazione con lo spear phishing, e la progettazione di landing page fasulle su cui far atterrare le vittime
- Anni 2010: il phishing inizia a essere sfruttato per inoltrare malware nei device delle vittime, assieme a un modello di gestione che passa da sporadici e isolati tentativi di truffa a vere e proprie campagne organizzate gestite da intere cybergang
- Oggi: il phishing esce dal perimetro della posta elettronica, per sconfinare nei social e nelle comunicazioni telefoniche. Nascono infatti il vishing e lo smishing, e cresce di pari passo la personalizzazione dei messaggi, grazie alle informazioni personali estrapolate direttamente dagli account social delle vittime
Nonostante l’evoluzione, l’unico comun denominatore del phishing resta l’ingegneria sociale: la capacità di manipolare le vittime per indurle a fornire informazioni riservate o per penetrare nei sistemi informatici.
Indipendentemente dal fine o dalla leva psicologica utilizzata, l’obiettivo è far compiere un’azione alla vittima.
Tenendo a mente questo presupposto, passiamo ad analizzare più nel dettaglio il callback phishing.
Callback Phishing: dentro la minaccia
Partendo dalla premessa precedente, possiamo affermare che il Callback phishing introduce un ulteriore fattore di coinvolgimento della vittima: il ricontatto.
Si tratta di attacchi molto più interattivi perché, anziché far leva su un semplice, e spesso accidentale, click, mira a far compiere un’azione del tutto volontaria: il ricontatto ad un recapito telefonico fornito direttamente nella mail o nell’SMS.
Generalmente, il secondo contatto avviene sotto il falso pretesto di fornire assistenza tecnica diretta e personalizzata, in cui spesso gli hacker fingono di essere persone o enti noti alla vittima (come la sua banca o staff tecnico della sua azienda).
A questo, spesse volte si aggiunge il suggerimento di installare tool di amministrazione remota: escamotage impiegato come pretesto per far scaricare software malevoli sui device delle vittime.
Nonostante richieda più sforzo organizzativo per gli hacker, il callback, in maniera totalmente controintuitiva, risulta molto più convincente e persuasivo.
Questo per due ragioni principali:
- La natura del messaggio, che può giocare sia su toni allarmistici (come la necessità di risoluzione di un problema tecnico o finanziario), che su un piano di rassicurazione (quando, ad esempio, gli hacker si spacciano per operatori di assistenza tecnica dell’azienda)
- La modalità apparentemente professionale di gestire l’assistenza: lasciando che sia la vittima in prima persona a ricontattarli, i pirati informatici non esercitano alcuna forzatura evidente affinché la vittima fornisca loro i propri dati personali
Ad esempio, una tipica situazione di callback potrebbe essere quella in cui un dipendente riceve un’email in cui viene avvisato di una presunta violazione di sicurezza nei sistemi informatici della propria azienda.
Il sollecito, infatti, sembra provenire proprio dal reparto IT interno e la raccomandazione è quella di rivolgersi immediatamente ad un numero telefonico indicato.
In contesti simili. la vittima, spinta dal senso di urgenza e gravità, e convinta si tratti di un’informazione e di un numero telefonico del tutto legittimi, ricontatta immediatamente il recapito fraudolento, spesso fornendo informazioni personali ed eventuali credenziali di accesso.
Questo dà quindi modo agli aggressori di accedere indisturbati alla rete aziendale, sfruttando anche tutti i privilegi utente dell’account rubato.
Callback phishing: il caso BazarCall
Poiché per gestire il contatto telefonico diretto per una gran mole di vittime è necessario un notevole sforzo in risorse umane, gli attacchi di callback phishing vengono spesso messi in atto tramite veri e propri call center criminali.
Un caso emblematico è BazarCall, emerso nel 2020 e associato alla distribuzione di una backdoor nota come BazaarLoader, cui poi si sono aggiunti altri malware come Trickbot, Gozi IFSB, IcedID, ecc.
L’attacco si compone essenzialmente di tre fasi:
- Una falsa e-mail di notifica informa il destinatario di un addebito per l’acquisto o il rinnovo di un prodotto. Nel testo, sono inserite informazioni generiche e un numero di fattura unico. L’email indica anche un recapito telefonico per eventuali domande o richieste di cancellazione
- Manipolazione della vittima affinché scarichi ed esegua un malware sul suo device
- Avvio di frodi finanziarie o inserimento di ulteriori malware nel sistema. La maggior parte delle campagne BazarCall utilizza file come “support.Client.exe”
Oltre alla tecnica d’attacco, a renderlo ancor più interessante, sono tutte le tattiche di social engineering impiegate dagli hacker:
- Il raggiro può iniziare con la richiesta di informazioni di base, cui segue l’avvertimento che la mail ricevuta era spam. A quel punto, il truffatore si offre di eseguire una finta scansione del sistema della vittima
- In questo scenario, il truffatore finge che il conto online della vittima è stato compromesso e la invita a scaricare ed eseguire un software per la risoluzione del problema
- Nel caso di abbonamenti, la tattica consiste nel confermare che l’importo è stato effettivamente addebitato ma, se la vittima desidera disdire, la si istruisce sul download e l’esecuzione di un finto applicativo da cui poter finalizzare l’operazione
Come difendersi dal phishing
Uno dei maggiori punti di forza del phishing è quello di far leva sull’errore umano: un fattore scarsamente prevedibile e difficilmente contrastabile con la sola tecnologia.
Tuttavia, si può intervenire cercando di arginare il problema, istruendo gli utenti su come riconoscere e contrastare potenziali truffe.
In sintesi, indipendentemente dal livello di sofisticazione dell’attacco, le raccomandazioni rimangono pressoché le stesse:
- Forma i dipendenti e gli utenti su come riconoscere e-mail, messaggi e chiamate sospette
- Non fornire mai informazioni personali o aziendali sensibili per telefono o via e-mail senza prima aver verificato l’identità del richiedente
- Installa e mantieni aggiornate soluzioni di sicurezza affidabili che possano rilevare e bloccare email e siti web di phishing
- Aggiornamenti e Patch di Sicurezza: assicurati che tutti i sistemi e i software siano aggiornati con le ultime patch di sicurezza. Questo riduce il rischio che i criminali informatici sfruttino vulnerabilità note per installare malware
- Integra l’Autenticazione Multifattore (MFA): questa aggiunge un ulteriore strato di sicurezza, rendendo più difficile per gli aggressori accedere ai sistemi anche se riescono a ottenere le credenziali di un utente
- Esegui regolarmente il backup dei dati importanti: in caso di attacco ransomware, infatti, avrai la possibilità di ripristinare i dati senza dover pagare il riscatto
- Stabilisci politiche aziendali chiare per la gestione delle informazioni sensibili e la risposta agli incidenti di sicurezza
- Applica il principio del minimo privilegio, limitando l’accesso ai dati solo a chi ne ha effettivamente bisogno
- Esegui regolarmente simulazioni di attacchi di phishing per testare la reattività dei dipendenti e rafforzare la loro consapevolezza
Conclusioni
Come abbiamo visto, il phishing è una delle tecniche di attacco più longeve in assoluto. Questo perché si basa sul raggiro e sull’errore umano.
Ecco spiegato anche il motivo della sua costante evoluzione: il phishing continua ancora a essere redditizio per hacker e cybercriminali, il che li incoraggia a investire sempre più tempo e risorse per affinarne tecniche e portata.
Il callback phishing si inserisce proprio in questo solco, ovvero nella costante tendenza di rendere le truffe sempre più sofisticate, interattive e, purtroppo, verosimili per le vittime.
L’imperativo resta sempre quello di imparare a riconoscere i segnali sospetti, e soprattutto di non divulgare mai in alcuna forma, orale o scritta, informazioni personali o aziendali riservate.
- Autore articolo
- Gli ultimi articoli
Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.