Il vishing, che è l'abbreviazione di "voice phishing", è un tipo di attacco di ingegneria sociale che utilizza chiamate telefoniche o comunicazioni vocali per indurre qualcuno a rinunciare a informazioni sensibili, come i dettagli del conto bancario, le credenziali di accesso o le informazioni di identificazione personale (PII). Sebbene le email di phishing siano più comunemente riconosciute, gli attacchi di vishing sono in aumento, spesso volando sotto il radar. A differenza di altri attacchi informatici che prendono di mira i canali digitali, il vishing manipola la fiducia umana attraverso l'interazione vocale diretta, rendendolo uno strumento potente per i truffatori.
Gli attacchi di vishing si basano su una combinazione di tecniche di manipolazione per rendere i loro schemi convincenti. Ecco alcune delle tattiche più utilizzate:
L'aggressore creerà una storia o un "pretesto" per giustificare la chiamata. Potrebbero affermare di provenire dalla banca della vittima e dire loro che c'è un'attività sospetta sul loro conto. Cercheranno di creare un senso di urgenza nel loro pretesto in modo che la vittima risponda senza pensare e rinunci alle sue informazioni sensibili.
Gli aggressori manipolano le informazioni sull'ID del chiamante per farle apparire come se la chiamata provenisse da una fonte legittima. Ciò viene fatto per ridurre le difese del bersaglio e renderlo più propenso a fidarsi del chiamante.
Una delle tecniche più efficaci nel vishing è creare un senso di urgenza. Gli aggressori possono affermare che è necessaria un'azione immediata per prevenire frodi o perdite finanziarie, spingendo la vittima ad agire prima di avere il tempo di pensare in modo critico o verificare l'identità del chiamante.
Gli aggressori di solito si fingono lavoratori dell'assistenza clienti di aziende tecnologiche note, sostenendo che il computer della vittima è compromesso. Convincono le vittime a concedere l'accesso remoto o a pagare le riparazioni false, spesso portando a furti di dati o perdite finanziarie.
In queste truffe, i truffatori impersonano i rappresentanti bancari, sostenendo attività sospette sul conto della vittima. L'aggressore chiede informazioni sensibili, come password o PIN, sotto la maschera di proteggere l'account, con conseguente accesso non autorizzato ai dati finanziari.
Le truffe di consegna coinvolgono gli aggressori che fingono di provenire da un servizio di consegna, affermando che c'è un problema con un pacco. Alla vittima viene chiesto di fornire informazioni personali o di pagamento per risolvere il problema, che i truffatori sfruttano per frode.
Rischi per le persone
Se ricevi una chiamata inattesa che richiede informazioni personali, come numeri di account o password, è un segnale di allarme. Le organizzazioni legittime in genere non richiedono dati sensibili al telefono senza previa verifica.
I truffatori vishing spesso creano un senso di urgenza, affermando che è necessaria un'azione immediata per prevenire qualcosa di negativo, come la sospensione del conto o la perdita di fondi. Fai attenzione a chi chiama che ti spinge a prendere decisioni rapide senza verifica.
Fai attenzione alle chiamate che ti chiedono di confermare le informazioni personali, come il numero di previdenza sociale o le credenziali di accesso, specialmente se non ti aspettavi la chiamata. Le organizzazioni legittime in genere consentono processi di verifica alternativi.
Se si riceve una chiamata non richiesta che richiede informazioni personali, verificare sempre l'identità del chiamante contattando l'organizzazione direttamente attraverso i suoi canali ufficiali. Non fare affidamento solo sull'ID del chiamante, in quanto può essere falsificato.
Evita di condividere dati personali, come numeri di account, password o PIN, al telefono. Le organizzazioni legittime non chiederanno mai queste informazioni in una chiamata non sollecitata.
Le aziende devono condurre regolarmente corsi di formazione sulla cybersecurity per i propri dipendenti, in modo da poter imparare a riconoscere i tentativi di vishing e stabilire un protocollo per la segnalazione di chiamate sospette.
Considera l'utilizzo di app o servizi di blocco delle chiamate che filtrano le chiamate spam. Le aziende possono utilizzare strumenti di autenticazione vocale per verificare l'identità dei chiamanti, specialmente quando sono coinvolte informazioni sensibili.
Discutiamo di un attacco di social engineering che ha indotto la vittima a installare uno strumento di accesso remoto, innescando le attività del malware DarkGate e un tentativo di connessione C&C.
Scoprite le ultime tendenze del phishing e le best practice per la sicurezza delle e-mail per migliorare la vostra sicurezza e-mail e ridurre il rischio informatico.