Che cos'è Vishing?

Significato e definizione del Vishing

Il vishing, che è l'abbreviazione di "voice phishing", è un tipo di attacco di ingegneria sociale che utilizza chiamate telefoniche o comunicazioni vocali per indurre qualcuno a rinunciare a informazioni sensibili, come i dettagli del conto bancario, le credenziali di accesso o le informazioni di identificazione personale (PII). Sebbene le email di phishing siano più comunemente riconosciute, gli attacchi di vishing sono in aumento, spesso volando sotto il radar. A differenza di altri attacchi informatici che prendono di mira i canali digitali, il vishing manipola la fiducia umana attraverso l'interazione vocale diretta, rendendolo uno strumento potente per i truffatori. 

Tecniche comuni utilizzate nel vishing

Gli attacchi di vishing si basano su una combinazione di tecniche di manipolazione per rendere i loro schemi convincenti. Ecco alcune delle tattiche più utilizzate: 

Pretesto

L'aggressore creerà una storia o un "pretesto" per giustificare la chiamata. Potrebbero affermare di provenire dalla banca della vittima e dire loro che c'è un'attività sospetta sul loro conto. Cercheranno di creare un senso di urgenza nel loro pretesto in modo che la vittima risponda senza pensare e rinunci alle sue informazioni sensibili. 

Falsificazione dell'ID del chiamante

Gli aggressori manipolano le informazioni sull'ID del chiamante per farle apparire come se la chiamata provenisse da una fonte legittima. Ciò viene fatto per ridurre le difese del bersaglio e renderlo più propenso a fidarsi del chiamante. 

Tattiche di urgenza

Una delle tecniche più efficaci nel vishing è creare un senso di urgenza. Gli aggressori possono affermare che è necessaria un'azione immediata per prevenire frodi o perdite finanziarie, spingendo la vittima ad agire prima di avere il tempo di pensare in modo critico o verificare l'identità del chiamante. 

Esempi di truffe Vishing nel mondo reale 

Truffe di supporto tecnico

Gli aggressori di solito si fingono lavoratori dell'assistenza clienti di aziende tecnologiche note, sostenendo che il computer della vittima è compromesso. Convincono le vittime a concedere l'accesso remoto o a pagare le riparazioni false, spesso portando a furti di dati o perdite finanziarie. 

Truffe di impersonificazione bancaria

In queste truffe, i truffatori impersonano i rappresentanti bancari, sostenendo attività sospette sul conto della vittima. L'aggressore chiede informazioni sensibili, come password o PIN, sotto la maschera di proteggere l'account, con conseguente accesso non autorizzato ai dati finanziari. 

Truffe di consegna

Le truffe di consegna coinvolgono gli aggressori che fingono di provenire da un servizio di consegna, affermando che c'è un problema con un pacco. Alla vittima viene chiesto di fornire informazioni personali o di pagamento per risolvere il problema, che i truffatori sfruttano per frode. 

I rischi del vishing per le aziende e le persone 

Rischi per le persone

  • Furto di identità e accesso non autorizzato all'account: Gli aggressori possono utilizzare le informazioni personali rubate per assumere il controllo dei conti finanziari, potenzialmente drenando fondi o accedendo a dati sensibili. 
  • Frode finanziaria: I criminali possono rubare denaro direttamente o utilizzare le informazioni della vittima per aprire nuovi conti, richiedere prestiti o effettuare acquisti fraudolenti a loro nome. 
  • Vendite Dark Web: I dati personali compromessi possono essere venduti sul dark web, consentendo ad altri criminali di sfruttare l'identità della vittima per varie attività illegali. 

Rischi per le aziende

  • Violazioni dei dati: Gli attacchi Vishing che prendono di mira i dipendenti possono portare a violazioni delle informazioni dei clienti, dei dati proprietari e delle comunicazioni riservate, creando problemi di sicurezza diffusi. 
  • Conseguenze normative e legali: In settori come finanza, sanità e tecnologia, le violazioni possono comportare pesanti multe normative, azioni legali da parte delle parti interessate e una perdita di vantaggio competitivo. 
  • Perdita di fiducia dei clienti: Una violazione dei dati causata dal vishing può danneggiare gravemente la reputazione di un'azienda, con conseguente perdita di fedeltà dei clienti e perdite finanziarie a lungo termine. 

Segnali che ti stanno prendendo di mira da un attacco Vishing 

  • Essere in grado di riconoscere un attacco Vishing può prevenirne uno! Ecco alcuni segnali d'allarme a cui prestare attenzione: 

Chiamate non richieste che richiedono informazioni sensibili

Se ricevi una chiamata inattesa che richiede informazioni personali, come numeri di account o password, è un segnale di allarme. Le organizzazioni legittime in genere non richiedono dati sensibili al telefono senza previa verifica. 

Pressione ad agire rapidamente

I truffatori vishing spesso creano un senso di urgenza, affermando che è necessaria un'azione immediata per prevenire qualcosa di negativo, come la sospensione del conto o la perdita di fondi. Fai attenzione a chi chiama che ti spinge a prendere decisioni rapide senza verifica. 

Richieste di dati personali senza preavviso

Fai attenzione alle chiamate che ti chiedono di confermare le informazioni personali, come il numero di previdenza sociale o le credenziali di accesso, specialmente se non ti aspettavi la chiamata. Le organizzazioni legittime in genere consentono processi di verifica alternativi. 

Come prevenire gli attacchi di vishing 

  • Per proteggersi dagli attacchi di vishing a persone e organizzazioni e ridurre il loro impatto, è possibile prendere in considerazione alcune di queste best practice: 

Essere scettici sulle chiamate non richieste

Se si riceve una chiamata non richiesta che richiede informazioni personali, verificare sempre l'identità del chiamante contattando l'organizzazione direttamente attraverso i suoi canali ufficiali. Non fare affidamento solo sull'ID del chiamante, in quanto può essere falsificato. 

Non condividere mai informazioni sensibili al telefono

Evita di condividere dati personali, come numeri di account, password o PIN, al telefono. Le organizzazioni legittime non chiederanno mai queste informazioni in una chiamata non sollecitata. 

Formazione dei dipendenti

Le aziende devono condurre regolarmente corsi di formazione sulla cybersecurity per i propri dipendenti, in modo da poter imparare a riconoscere i tentativi di vishing e stabilire un protocollo per la segnalazione di chiamate sospette. 

Strumenti di blocco delle chiamate e autenticazione

Considera l'utilizzo di app o servizi di blocco delle chiamate che filtrano le chiamate spam. Le aziende possono utilizzare strumenti di autenticazione vocale per verificare l'identità dei chiamanti, specialmente quando sono coinvolte informazioni sensibili. 

Informazioni correlate su Vishing

image

Il vishing tramite Microsoft Teams facilita l'intrusione del malware DarkGate

Discutiamo di un attacco di social engineering che ha indotto la vittima a installare uno strumento di accesso remoto, innescando le attività del malware DarkGate e un tentativo di connessione C&C.

image

Migliori pratiche di sicurezza e-mail per la prevenzione del phishing

Scoprite le ultime tendenze del phishing e le best practice per la sicurezza delle e-mail per migliorare la vostra sicurezza e-mail e ridurre il rischio informatico.

Articoli correlati

Ricerche correlate