Tre differenti metodi con cui i criminali tentano di impossessarsi delle informazioni sensibili degli utenti.

Le truffe sono sempre esistite sin dagli albori della società. Da sempre adottate come mezzo per aggirare determinate norme e regole, che per carpire denaro e informazioni sensibili dai più deboli, queste hanno conosciuto una notevole evoluzione e rapida diffusione a seguito dell’esplosione di internet.

phishing smishing vishing

Tuttavia, a seguito della popolarità dei vari social network e alla pandemia di Covid-19, tre metodologie di truffa informatica hanno iniziato a farla da padrone nei meandri di Internet. Stiamo parlando di phishing, smishing e vishing: tre metodologie impiegate dai cybercriminali per colpire gli utenti meno attenti e più impulsivi.

Ma qual è la vera differenza tra loro? Scopriamolo insieme.

Cos’è il Phishing?

Il phishing è la più diffusa e conosciuta truffa a livello informatico, nonché una concreta minaccia per il mondo odierno.
A conti fatti si tratta di una forma di adescamento, che fa leva su diverse tattiche di ingegneria sociale atte a far cadere nella trappola del cybercriminale l’incauto utente.
Il metodo più diffuso per la sua messa in atto è l’e-mail.
Solitamente il mittente risulta essere un’organizzazione, o un ente affidabile, come la nostra banca, o lo stesso provider di posta.
Nel corpo dell’e-mail è presente un messaggio che ci informa di un pericolo per sicurezza del nostro account e che invita a cliccare un link sottostante.

L’incauto utente, preso alla sprovvista, clicca e regala al malintenzionato le credenziali di accesso al suo account.
Si tratta di una tattica subdola e difficile da evitare se non si ha un minimo di dimestichezza informatica. Questo perché il criminale riproduce fedelmente una pagina malevola di un servizio autentico, come le Poste o un social network, in modo da indurre le vittime ad accedervi mediante il link fornito e inserire qui i propri dati personali.

Come difendersi dal Phishing?

Di seguito sono riportati alcuni consigli su come difendersi efficacemente:

Verificare sempre mittente e indirizzo delle e-mail

Se il mittente dell’e-mail e il conseguente indirizzo mostrato corrispondono a quello di un ente veritiero, allora si può stare tranquilli.
Viceversa, si deve eliminare l’e-mail e contrassegnarla sia come spam, che come tentativo di phishing.

Usare connessioni sicure

Mai sfruttare il Wi-Fi libero messo a disposizione da luoghi e strutture che visitiamo. Questo sia per evitare di cadere vittime di un attacco Evil Twin, che di rendere pubbliche le nostre credenziali.

Non condividere i dati

Bisogna tenere a mente che nessuna compagnia chiederebbe mai dati sensibili di un proprio cliente via e-mail, in quanto ne è già in possesso. Per questo motivo non si deve mai condividere alcuna informazione del genere con una terza parte.

Cos’è lo Smishing?

Per Smishing si definisce una variante del phishing messa in atto mediante messaggi di testo: i classici SMS.
Difatti il termine deriva proprio dall’unione di SMS e phishing.
Le vittime ricevono un messaggio sul proprio smartphone da parte di un truffatore, che si finge qualcun altro, in modo da indurle ad aprire un link malevolo fornito con lo stesso. Quest’ultimo può essere in una di due forme:

  1. Malware: il link installa sul telefono della vittima un malware che si finge un’applicazione autentica, in cui la vittima inserisce le proprie credenziali.
  2. Sito web malevolo: il link reindirizza l’utente ad un sito web creato ad hoc dai cybercriminali, in modo da replicare il portale bancario della vittima, in cui questa inserirà inconsapevolmente le proprie credenziali di accesso.

Ciò semplifica notevolmente il furto di informazioni sensibili e risulta oggi una tattica estremamente efficace, poiché si vive in un’era in cui il lavoro si svolge quasi interamente tramite lo smartphone personale. Tendenza che prende il nome di BYOD (Bring Your Own Device).

Tra gli esempi maggiormente diffusi oggigiorno di smishing si ricordano:

  • Test online obbligatorio per Covid-19
  • Servizi finanziari
  • Conferme di ordini online e/o fatture
  • Omaggi da parte di aziende
  • Assistenza clienti.

Come difendersi dallo Smishing?

Per proteggere sé stessi da questa truffa aggravata si deve sempre prestare attenzione da chi si riceve l’SMS, agendo di conseguenza con molta prudenza.
Di seguito sono riportati alcuni accorgimenti da adottare.

Non rispondere

Poiché si fa leva sulla curiosità dell’utente, la soluzione migliore è sempre quella di non rispondere direttamente ad un SMS considerato sospetto, in quanto anche la semplice risposta “STOP” per l’annullamento di un’iscrizione rappresenta un veicolo per la sottrazione di informazioni sensibili.

Ignorare l’urgenza

Nonostante a prima vista possa apparire come un problema con priorità massima, qualsiasi messaggio va sempre interpretato, a maggior ragione se si tratta di offerte a tempo limitato, o aggiornamenti di termini e condizioni di un determinato provider. La soluzione migliore è diffidare.

Contatto diretto con l’ente

Se si riceve un SMS da parte della propria banca, o un altro ente finanziario, è bene chiamare direttamente l’ente, in modo da dissolvere ogni dubbio. Inoltre, si deve sottolineare come le istituzioni legittime non richiedono mai le informazioni di accesso al proprio utente, specialmente tramite messaggio.

Segnalare

Se il numero da cui si viene contattati risulta sospetto, o sconosciuto, è bene bloccarlo e segnalarlo per phishing in maniera tempestiva.

Cos’è il Vishing?

Il Vishing rappresenta un’evoluzione diretta del phishing, in quanto applica lo stesso principio della frode, ma per mezzo di una telefonata.
Il termine è infatti la combinazione delle parole voice e phishing.

I malintenzionati contattano la loro vittima mediante una telefonata diretta, spacciandosi talvolta per operatori di banca o per esperti di sicurezza di una rinomata azienda. In tal modo dissimulano dei disservizi, o parlano direttamente di tentativi di accessi anomali rilevati dal telefono della vittima, giungendo perfino a violazioni contrattuali stipulati con l’ente che fingono di rappresentare.
Tutto questo ha un solo scopo: indurre la vittima a rivelare loro informazioni sensibili.

Nel momento in cui i dati vengono rivelati mediante la telefonata, i malintenzionati possono agire di conseguenza, infiltrandosi negli account bancari della vittima e sottrarre ingenti somme di denaro. La strategia risulta estremamente efficace, in quanto fa leva sul cogliere di sorpresa l’ignara vittima e a provocarle uno stato di tensione, momento in cui questa risulta più vulnerabile.

Una forma complessa del vishing prevede l’invio di un messaggio contenente un codice, che il truffatore chiede all’utente di aprire e leggere ad alta voce. Un’altra forma prevede la richiesta di scaricare una determinata applicazione sul proprio smartphone, che viene descritta dal malintenzionato come essenziale per la protezione dei propri dati.

In entrambi i casi lo scopo è quello di carpire credenziali di accesso e dati sensibili dalla vittima. In tempi più recenti il vishing si manifesta sotto forma di userbot con voce preregistrata, che tempestano di chiamate interi registri telefonici di svariati operatori. Si è stimato che da inizio 2024 gli elementi più gettonati sono i bonus di Amazon Locker e gli interventi dentistici in Albania.

Come difendersi dal Vishing?

Di seguito sono riportati alcuni consigli e accorgimenti a cui prestare attenzione nel caso in cui si dovesse ricevere una telefonata sospetta.

Numero da cui si viene contattati
Se si tratta di aziende, imprese, o determinati enti, viene utilizzato un numero fisso con prefisso italiano, il quale risulta immediatamente visibile sullo schermo dell’utente. Ciò non esclude in automatico che si sia al sicuro, in quanto un truffatore potrebbe comunque trovarsi dall’altro capo.
Un aiuto è fornito in automatico dalle applicazioni per Android Telefono di Google e TrueCaller. Dotate di un modulo antispam e di un ricco database mondiale, esse sono in grado di identificare automaticamente un numero considerato non attendibile dalle rispettive community. Ciò permette all’utente di conoscere in anticipo chi sta chiamando e di bloccare il numero in un niente.

Tono dell’interlocutore
Se l’interlocutore usa un tono troppo colloquiale, o amichevole, è già un notevole campanello di allarme. Lo stesso vale se questi da inizio ad una comunicazione troppo brusca, pressante, o minacciosa. I professionisti del settore adottano sempre un tono formale e consono all’ente che rappresentano. In questi casi si deve interrompere immediatamente la chiamata, bloccare il numero e segnalarlo per vishing.

Contenuto delle richieste
Un qualsiasi istituto bancario è già a conoscenza dei dati del proprio cliente, per cui un suo operatore non si permetterebbe mai di chiedere informazioni delicate come password, codici di verifica, o credenziali di accesso tramite una telefonata.

In conclusione

La digitalizzazione estrema e l’assenza di una quanto più che dovuta alfabetizzazione informatica, ha portato al dilagare di svariate truffe informatiche.
La nostra predisposizione alla velocità, al dover agire tempestivamente e il non soffermarci mai a riflettere su cosa stiamo facendo, rappresenta il terreno più fertile per i cybercriminali, in quanto siamo più vulnerabili che mai.

Se tutti noi ci prendessimo il dovuto tempo per leggere attentamente a chi stiamo rispondendo e cosa ci sia effettivamente giunto nella nostra casella e-mail, allora potremmo davvero considerare il fenomeno del phishing come debellato.

Questo perché dobbiamo essere coscienti dei dati che amministriamo, creiamo e gestiamo quotidianamente, con l’obiettivo di diffonderli il meno possibile.