Che cos’è il vishing e quali differenze ha con il tradizionale phishing

Il vishing è una sottocategoria di phishing che sfrutta chiamate telefoniche, anziché le tradizionali mail, per ingannare le vittime ed estorcere loro informazioni sensibili.

L’obiettivo, quindi, rimane lo stesso, a cambiare sono il mezzo e tecniche di ingegneria sociale utilizzate.

In questo articolo esploreremo caratteristiche e modalità di truffa impiegate nel vishing, le differenze con il phishing, concentrandoci su individuare e prevenire la minaccia.

Cos’è il vishing
Panoramica sul phishing: le differenze con il vishing
Truffe più frequenti
Come individuare un tentativo di frode
Prevenzione
Conclusioni

Cos’è il vishing

Così come il phishing, anche il vishing ha come obiettivo l’ottenimento di dati sensibili relativi alla vittima.

Il mezzo per arrivare a questo risultato è una chiamata telefonica, durante la quale i truffatore utilizza l’ingegneria sociale per i suoi scopi illeciti.

L’attaccante contatta una vittima ignara, solitamente fingendosi l’operatore di un servizio di assistenza clienti, e cercando di estrapolare quante più informazioni possibili.

Si allude ad un account bloccato, per sbloccare il quale è necessario comunicare le credenziali di accesso al finto tecnico. Altre volte la vittima verrà guidata passo passo verso l’installazione di un software, ovviamente malevolo, spacciato per sicuro.

In ogni caso, una componente onnipresente risulta essere quella di instillare una sensazione di urgenza nelle vittime, che le porta ad essere meno caute e ad agire d’istinto.

L’attacco di tipo vishing richiede, dunque, che l’aggressore sia già possesso di alcune informazioni relative alla vittima, prima fra tutte un contatto telefonico.

Il modo in cui un truffatore possa aver accesso a questi dati non è univoco. È ragionevole pensare che ogni truffatore abbia una banca dati in cui si incrociano informazioni provenienti da vari leak e data breach.

Per arricchire l’assortimento di dati relativi ad una singola persona, optano per il vishing, sperando che le informazioni in loro possesso siano sufficienti ad acquisire la fiducia della vittima.

Inoltre, per aumentare le probabilità di successo dell’attacco, spesso gli attaccanti sfruttano lo spoofing dell’identificativo relativo ad un numero verificato. A questo punto, usando la tecnologia Voice over Internet Protocol (VoIP), possono raggiungere un gran numero di vittime.

Alternativamente, vengono usati dei numeri bloccati, in modo tale da evitare di essere identificati in caso di attacco non andato a buon fine. Tuttavia, quest’ultima opzione limita le possibilità di riuscita, poiché gli utenti sono sempre più attenti ad evitare chiamate da numeri sconosciuti o con prefissi non locali.

Infine, è previsto anche l’utilizzo della segreteria telefonica come mezzo di attacco: fingendosi un servizio lecito, i truffatori intimano alla vittima di richiamare al più presto, simulando così una situazione che richiede un tempestivo intervento e che spinge le vittime ad abbassare la guardia.

Panoramica sul phishing: le differenze con il vishing

Il vishing, come anche lo spear phishing e lo smishing, sono solo variazioni sul tema rispetto al phishing tradizionale.

In quest’ultimo, il contatto tra truffatore e utente avviene tipicamente tramite messaggi di posta elettronica. Per rendere credibile il messaggio, si operano delle tecniche di spoofing di varie tipologie: dalle più tecniche alle più triviali.

Ad esempio, l’utente viene talvolta ingannato dal fatto che nel campo “mittente” sia presente un indirizzo molto simile a quello di un ente certificato (come banche, istituti assicurativi, ecc.).

Pertanto, a differenza del vishing, è più facile camuffarsi, arrivando più rapidamente ad ottenere la fiducia degli utenti più ingenui.

In un attacco phishing, inoltre, le mail sono accompagnate da un link. Nel corpo del messaggio si invita a cliccare sul link per risolvere un certo problema, alludendo al fatto che si verrà reindirizzati nella pagina di login del servizio da verificare.

Ovviamente tale link farà tutt’altro, nel migliore dei casi reindirizzando la vittima su un sito clone, nel peggiore, innescando il download di un malware.

L’approccio, quindi, è sensibilmente differente rispetto al vishing, dove l’attaccante tenta attivamente di indurre la vittima a consegnare le credenziali.

Il phishing è molto automatizzabile e scalabile: le campagne possono essere lanciate tempestivamente, andando a raggiungere migliaia di vittime in poco tempo, dato che i messaggi di posta elettronica possono essere inoltrati a più utenti contemporaneamente.

Negli attacchi di vishing, al contrario, a meno che non si utilizzino dei messaggi preregistrati dal minore tasso di successo, le operazioni sono molto più macchinose.

In compenso, però, la scommessa dei truffatori si concentra sul singolo utente, nella speranza che l’interazione diretta con una persona farà molta più presa rispetto ad un asettico messaggio di posta.

Truffe più frequenti

Se l’obiettivo finale rimane sempre lo stesso, il copione che i truffatori seguono per raggiungerlo può variare.

Negli anni l’ingegneria sociale ha affinato la sua tecnica, arrivando a produrre dei canovacci che, se imparati e recitati con cura, consentono di aumentare il tasso di successo dell’attacco.

Assistenza clienti

Recentemente, gli attaccanti hanno iniziato ad approcciare le vittime fingendosi operatori di assistenza clienti.

In particolare, contattano i loro obiettivi chiedendo conferma per l’acquisto di abbonamenti di qualsiasi tipo, tutti molto onerosi. I prezzi spropositati millantati dai truffatori spingono le vittime ad accettare incoscientemente l’aiuto loro elargito.

Come da copione, verranno richieste delle credenziali o dati sensibili, apparentemente utili al finto tecnico per annullare l’ordine.

A questo punto, i dati sono liberamente fruibili all’attaccante.

A seconda della loro rilevanza, andranno ad aggiungersi a quelli già disponibili oppure verranno usati per effettuare l’accesso illecito su specifici account.

Supporto tecnico antivirus

Se si visitano siti non sicuri o se la propria macchina è stata infettata da adware, c’è la possibilità che si ravvisino messaggi pop-up che avvisano concitatamente circa la presenza di temibili virus sul dispositivo in uso.

Il messaggio potrebbe essere parte di una campagna phishing (presenza di link o pulsanti da cliccare) oppure di vishing.

Nel secondo caso, si invitano gli utenti a contattare dei numeri di assistenza, che metteranno in contatto con dei tecnici, capaci di aiutare ad estirpare il presunto virus.

Anche qui, il fittizio intervento risolutivo prevede il cieco affidamento di dati o credenziali private al tecnico, che non perderà altro tempo e le utilizzerà per i propri scopi.

Il rischio concreto è che, ironicamente, le credenziali possano essere sfruttate per consentire l’installazione di pericolosi spyware sul dispositivo.

Servizi a pagamento e offerte imperdibili

Nella casella della segreteria telefonica si riceve una nota vocale, magari anche da parte di un contatto sicuro, nel quale viene chiesto di acquistare dei prodotti dotati di codice di attivazione (ad esempio gift card) per conto di un familiare o dei membri del proprio team di lavoro.

L’affare viene talvolta condito di impellenza, alludendo ad una offerta a tempo in scadenza a breve.

Ad acquisto avvenuto, andrà inviata un’immagine raffigurante i codici di attivazione.

In questo caso, il vishing è stato usato semplicemente come mezzo per una truffa tradizionale, dove la vittima perde del denaro a beneficio del truffatore.

Profilo bancario compromesso

L’estorsione di denaro, però, può essere anche più grave ed assumere connotazioni profondamente criminali. Gli utenti meno avvezzi a certe dinamiche hanno più possibilità di essere ingannati da tentativi di frode anche molto arditi.

Un truffatore finge di essere un operatore presso l’istituto bancario di riferimento della vittima.

Alla vittima ignara viene contestato un errore durante una transazione oppure un accesso non autorizzato. Per risolvere il problema, ancora una volta, sono necessarie le credenziali di accesso ed eventuali token o password monouso.

Le conseguenze che emergono dalla consegna di questi dati sono ben più gravi di quanto visto in precedenza, poiché i truffatori hanno accesso ad una quantità di denaro limitata solamente da eventuali tetti massimi di sicurezza impostati dalla banca.

Pubblica amministrazione

Infine, l’ultimo esempio molto frequente riguarda l’approccio che consente agli attaccanti di entrare in possesso della maggiore quantità di dati personali possibile.

Durante censimenti o chiusure fiscali, si moltiplicano i tentativi di phishing e vishing in cui i truffatori impersonano l’operatore di un ente di pubblica amministrazione.

Per compilare dei moduli burocratici, infatti, c’è bisogno di comunicare diversi dati anagrafici personali.

Sorprendentemente, viene offerta la possibilità di terminare la pratica telefonicamente, senza bisogno di recarsi allo sportello.

L’utente che accetta di buon grado senza verificare, consegnerà ad un malvivente una mole ingente di informazioni personali, che potrebbero essere utilizzate per costruire attacchi mirati o, più semplicemente, rivendute nel mercato nero.

Come individuare un tentativo di frode

I truffatori utilizzano delle tecniche ben rodate nel tempo, che consentono di ottenere sempre dei risultati. Osservando i rapporti sui vari tentativi di attacco, si evince un modo di operare ben identificabile.

Dati i pattern ormai riconoscibili, è possibile individuare chiaramente una truffa di vishing prestando attenzione a questi punti:

Chi chiama si identifica come rappresentante di enti verificati. Prestare attenzione a questo particolare è fondamentale, visto che ad oggi i più importanti istituti non effettuano più chiamate outbound per assistere il cliente in operazioni delicate, proprio per porre un freno alle truffe (vishing, ma anche phishing). Se l’interlocutore vuole impostare una conversazione e iniziare dei procedimenti che involvono dati sensibili, è bene terminare subito la chiamata. Eventualmente si può sempre contattare un numero verificato relativo all’ente, chiedendo conferma di quanto successo.
L’interlocutore proietta un forte senso di urgenza. Come già accennato, impostare la conversazione su un piano fortemente emotivo è tipico dei truffatori che praticano vishing. La tecnica più frequente fa leva sull’urgenza, alludendo spesso ad account in blocco o pagamenti onerosi da saldare. Un contesto professionale innanzitutto non utilizzerebbe questo canale di comunicazione (vedi punto uno), dopodiché adotterebbe un tono più formale e misurato. In ogni caso, è bene evitare di consegnare i propri dati personali via telefono.
Richiesta insistente di informazioni riservate. Chi pratica truffe di vishing (o phishing in generale) vuole estorcere quante più informazioni da più vittime possibile. Sia che la chiamata avvenga in tempo reale sia che venga impostata automaticamente tramite registrazioni, essa andrà inevitabilmente a convergere verso una richiesta di informazioni private. I truffatori potrebbero persino essere già in possesso di alcune di queste informazioni e sfruttarle per instillare un senso di fiducia nella vittima. È bene ricordare che, ad oggi, la richiesta di informazioni per via telefonica non è più praticata dalla maggior parte degli enti pubblici o privati.

Prevenzione

La conoscenza dei punti precedenti è già un valido aiuto per evitare le ripercussioni del vishing, poiché consente di identificare una truffa in atto.

In aggiunta, c’è la possibilità di seguire alcuni suggerimenti utili non soltanto ad evitare, ma anche a prevenire gli attacchi.

Non appena si hanno dei sospetti, occorre riagganciare. C’è sempre il modo di verificare a posteriori se la chiamata fosse effettivamente veritiera.
Verificare l’attendibilità del numero chiamante. Una volta riagganciato, si può verificare l’identità del chiamante con vari metodi. Ad esempio, un metodo consiste nel visitare canali di contatto di un dato ente e verificare che combacino con quelli che ci hanno contattato. Alternativamente, si consultano dei registri di numeri spam, presenti anche su internet. Non contengono tutti i numeri spam esistenti, ma offrono comunque un buon riscontro nella maggior parte dei casi.
Impostare un filtro anti spam. I filtri anti spam non sostituiscono l’intuito e non devono assolutamente far abbassare la guardia. Sono semplicemente una misura difensiva in più nel proprio arsenale. Spesso funzionano su registri, continuamente redatti ed aggiornati. Pertanto, alcune chiamate spam riescono comunque ad aggirare il filtro. Se non altro, riducono di molto il numero di chiamate indesiderate ricevute.
Non rispondere a numeri sconosciuti. Questo punto non è sempre attuabile con facilità, poiché magari si utilizza il telefono per entrare in contatto con dei clienti per lavoro o per molti altri motivi. Nel dubbio, si può sempre lasciar cadere la chiamata, per poi ascoltare eventuali messaggi di segreteria telefonica oppure verificare indipendentemente la bontà del numero chiamante.
Non interagire con chiamate automatiche. Anche per intuizione, nessun ente legittimo cercherebbe di risolvere dei problemi lasciando operare il cliente in solitudine con una chiamata registrata. Pertanto, occorre evitare di pigiare numeri dal tastierino se viene richiesto dalla registrazione.

In questi casi, quindi, si consiglia di riagganciare immediatamente e verificare la veridicità della chiamata contattando direttamente l’ente legittimo.

Conclusioni

Il vishing è un vero e proprio attacco criminale, che si spinge ben oltre la tradizionale truffa telefonica.

L’obiettivo degli attaccanti è quello di:

ottenere dei informazioni personali
arricchire le loro banche dat
strutturare attacchi più complessi o generare direttamente profitto

L’utente ben informato, però, è capace di difendersi egregiamente da questi attacchi, usufruendo anche di soluzioni tecnologiche come i filtri anti-spam per ridurre al minimo i rischi.

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.