Vishing è l’abbreviazione di voce + phishing (come smishing è SMS + phishing) ed indica un tipo di truffa con tanto di finto operatore che chiama al telefono le possibili vittime dell’attacco mediante un sistema vocale automatizzato (utilizzando ad esempio un sistema VoIP), spacciandolo per il call center di una banca o di un istituto di credito.

Il passaggio in massa allo smart working ha trasformato il telefono in un’arma molto efficace per le truffe, al punto che negli Stati Uniti FBI e CISA (Cybersecurity and Infrastructure Security Agency) rilasciano periodicamente annunci ufficiali su eventuali pericoli collegati a questo tipo di comunicazione. Durante lo scorso dicembre c’è stato un grosso incremento della pratica chiamata “vishing”, e tutto fa pensare che il nuovo decennio, dal punto di vista delle truffe, non porti a niente di buono.

Il vishing è una pratica relativamente nuova in Italia e si verifica quando un truffatore crea un sistema vocale automatizzato (o manuale) per fare chiamate vocali verso utenti telefonici e chiedere loro informazioni private.

Un esempio di vishing è il seguente: “Salve signora, la chiamo dal suo ufficio bancario: un malintenzionato ha tentato di rubare i dati della sua carta di credito. Per maggior sicurezza, ci fornisca le sue informazioni originali, in modo da confermare che i suoi dati siano ancora protetti”.

L’intento è lo stesso del phishing di e-mail o dell’SMS phishing (smishing): la chiamata vocale crea un senso di urgenza per l’utente che per questo motivo fornisce informazioni riservate.

Esistono molte tipologie di chiamate che veicolano truffe di tipo vishing, da quelle che vogliono proporci un nuovo contratto esasperandoci e facendo leva sul risparmio, a quelle che lo fanno totalmente a nostra insaputa, fino ad arrivare a chi intende truffarci seriamente, richiedendo dati relativi al conto corrente o alla carta di credito.

Ecco come riconoscere le truffe e come difendersi.

Vishing: significato e funzionamento per il phishing vocale - Sicurezza Informatica - Nexsys

Vishing: tipi di chiamate truffa

Gli scammer possono dire qualsiasi cosa durante una chiamata, ma i loro tentativi tendono a rientrare in alcune categorie principali.

Telemarketing

Le frodi di telemarketing tendono a coinvolgere offerte troppo belle per essere vere e tempi troppo ristretti per approfittare dello sconto imperdibile, tendono ad avere in comune la necessità di prendere una decisione sul momento.

Nell’anno appena trascorso sono stati resi noti i casi delle maggiori società di telefonia italiana le quali, indirettamente, ovvero affidando mandati a società “terze”, falsavano dei contratti.

Tutto molto semplice, ma affatto trasparente: l’operatore telefonico, durante la chiamata, pone delle semplici domande al cliente; così facendo, quando il cliente risponde quel fatidico e aspettato sì, l’operatore telefonico lo registra e lo usa in un secondo momento per la stipulazione del contratto telefonico.

Naturalmente questo non è affatto legale, però, a dispetto della legalità, i contratti sono comunque validi. Per recedere, il modo migliore è quello di chiedere copia della registrazione vocale alla società in oggetto che, nella stragrande maggioranza dei casi, sapendo di essere nel torto o non avendo quella registrazione, non potrà che accettare la rescissione del contratto.

Se l’azienda non accoglie la richiesta dell’utente che chiede copia della registrazione con cui ha effettuato un ordine telefonico, commette un illecito e ci si può rivolgere al Garante della Privacy.

Agenzia governativa

Una delle truffe più comuni riguarda presunte tasse non pagate o pagate in parte. Un fantomatico “ufficio delle imposte” chiama e propone due opzioni: pagare gli arretrati o ricevere una multa. La proposta scade in tempi molto brevi, altrimenti la multa sarà sempre più onerosa.

Anche in questo caso, aumentare la pressione con il fattore tempo funziona. Se si avesse il tempo di pensare a come le agenzie fiscali comunicano con i cittadini, per non parlare delle loro rigidità riguardo le scadenze, si capirebbe che tali chiamate sono fraudolente.

Banca

Il fine ultimo di ogni truffa è il denaro, quindi alcuni truffatori comunicano di aver individuato un’attività sospetta sul conto, il che in realtà dà loro una copertura per richiedere dettagli come un codice CVC/CVV o un codice di accesso usa e getta che si riceve via SMS. Armato di questi dettagli, il falso impiegato della banca può facilmente ripulire il conto del malcapitato utente.

C’è stata un’impennata relativamente ai reati di associazione per delinquere finalizzata alla sostituzione di persona, al furto aggravato e all’indebito utilizzo di carte di pagamento elettronico. Le modalità con cui avviene questa particolare tipologia di truffa sono abbastanza riconoscibili.

Chi chiama dice di appartenere ad un istituto di credito e riferisce al cliente che la propria carta è stata oggetto di un tentativo di truffa, vengono poi richiesti alcuni dati sensibili (come, ad esempio, il PIN della carta) con cui poi i truffatori possono avere libero accesso al credito.

Spesso le difese della vittima vengono abbassate dal fatto che la voce dall’altra parte della cornetta è a conoscenza del numero della carta, che nella maggior parte dei casi viene carpito con furti mirati.

Una banda di malviventi arrestata agli inizi dello scorso dicembre effettuava furti della corrispondenza nei centri di smistamento di Poste Italiane nel Centro-Nord Italia, individuando le buste contenenti le carte di credito e/o debito spediti da parte degli istituti di credito. A quel punto, fingendosi autorità della Polizia di Stato, chiamavano gli istituti di credito affermando di aver appena sequestrato un consistente numero di carte di credito rinvenute in possesso a malviventi, facendosi indicare il numero di telefono dei clienti.

Più spesso, però, i criminali chiamano direttamente le loro vittime, avvalendosi di telefoni “virtuali” e non tradizionali. Da questi raggiungono le vittime, indistintamente, sia che queste usino apparecchi fissi sia che abbiano cellulari. Nella maggior parte dei casi si tratta di telefonate preregistrate fatte attraverso servizi VoIP di internet.

Un altro possibile caso. Il raggiro inizia con una telefonata tradizionale, da parte di una finta finanziaria: “Crediamo che lei sia rimasta vittima di una truffa durante una transazione con la sua carta di credito. È questo il suo numero di carta di credito?”. Quando si sente che l’interlocutore conosce il numero di carta, si è portati a rispondere “Sì, è questo il numero”. Viene confermata anche la data di scadenza, nota al telefonista. E si è spinti a rivelare, quasi automaticamente, anche quello che dovrebbe essere taciuto: il codice di sicurezza della tessera.

Un’altra truffa venuta alla luce da poco, prevedeva che un falso Maresciallo dei Carabinieri si mettesse in contatto con le vittime informandole che il figlio, o un parente molto prossimo, aveva subito un lieve incidente di macchina, nulla di preoccupante, ma il suddetto era sprovvisto di assicurazione RC Auto e, pertanto, l’ufficiale avrebbe avuto la gentilezza di attendere qualche ora per il rapporto di PS, per dare modo all’interlocutore di effettuare un bonifico presso il conto corrente da questi indicato. Inutile dire che non c’era nessun parente ferito, e il numero di conto, ovviamente, non risaliva a nessuna assicurazione.

Vishing: significato e funzionamento per il phishing vocale - Sicurezza Informatica - Nexsys

Vishing: come riconoscere e difendersi dalle chiamate truffa

La maggior parte delle truffe presenta almeno uno di questi campanelli d’allarme:

  • se si riceve una chiamata da un numero di cellulare e si suppone che provenga da una banca o da un ente pubblico, quasi certamente si tratta di vishing. Se il numero di telefono appartiene a un’altra regione, le probabilità che sia una truffa raddoppiano. Tuttavia, un numero dall’aspetto ufficiale non è garanzia di una chiamata legittima: le moderne tecnologie permettono lo spoofing dell’ID di chi chiama;
  • se qualcuno cerca di estorcervi informazioni confidenziali, specialmente in modo minaccioso, anche questo è un segnale di vishing. In generale, qualsiasi tentativo di scoprire informazioni private è un indice di frode: Un vero impiegato di banca o di un ufficio delle tasse ha già a disposizione queste informazioni;
  • se qualcuno vi spinge a fare una transazione finanziaria e vi mette pressione con una scadenza, sicuramente è una truffa. Non effettuare mai bonifici a terzi se non si ha la certezza della loro identità;
  • se cercano di convincervi ad installare un software sul vostro computer per risolvere un problema, probabilmente non si tratta di una storia con un lieto fine.

Infine, un indizio indiretto ma ancora affidabile di vishing riguarda chi vi chiama: se si confonde, parla male, è ostile o usa espressioni troppo colloquiali, allora meglio diffidare: i veri operatori sono generalmente formati per utilizzare un linguaggio professionale.

Se si individua almeno uno dei campanelli d’allarme di cui sopra, l’opzione migliore è quella di terminare la conversazione e contattare, successivamente, l’azienda o l’ente che vi ha appena chiamato segnalando l’incidente. Evitare assolutamente di installare programmi di accesso remoto sul computer e usare una soluzione di sicurezza affidabile, che rilevi le applicazioni pericolose in tempo utile e avverta del pericolo.

Se si è pressoché certi di aver fornito informazioni sensibili, denunciare immediatamente il fatto alle Forze dell’Ordine, specificando quali sono i dati in possesso dei malviventi, in modo da potersi cautelare in seguito a possibili truffe.

Vishing: significato e funzionamento per il phishing vocale - Sicurezza Informatica - Nexsys

Il vishing e le identità violate

Lo scorso ottobre è stato arrestato un gruppo criminale che aveva preso di mira nomi noti di ex top manager e sindacalisti. Vittime, tra gli altri, l’ex presidente di Anas, Pietro Ciucci, l’ex numero uno della Cisl, Raffaele Bonanni, l’ex manager con un passato in Telecom e Autostrade, Vito Gamberale e l’ex amministratore delegato del Gruppo Poste Italiane e attuale vicepresidente Sia, Massimo Sarmi.

Tramite il vishing, che era servito per reperire le informazioni relative all’indirizzo, le informazioni ritrovate online e la complicità di un funzionario INPS, la banda riusciva a carpire i dati sensibili delle vittime e, in almeno un caso, ad appropriarsi anche della “pensione d’oro” di uno di essi.

L’indagine è scattata dopo la denuncia di Gamberale che nel febbraio del 2018 non ha ricevuto l’accredito della pensione mensile, dirottata su un conto estero dagli arrestati.

Gli indagati, come ha accertato dal PM Antonio Clemente, riuscivano ad ottenere prestiti, cessioni del quinto, finanziamenti attraverso l’appropriazione fraudolenta della documentazione Inps. Tra le carte presentate per ottenere il fido anche carte di identità false, acquisite con la complicità di un dipendente dell’VIII Municipio del Comune di Roma.

Vishing al Ritz di Londra

Secondo quanto riportano le indagini sul caso, una delle vittime era stata convinta dal fatto che il Criminal Hacker non solo stava chiamando con il numero di telefono dell’hotel (una tecnica chiamata spoofing), ma che conosceva alla perfezione la sua prenotazione per cena quella sera.

Con queste informazioni così dettagliate alla vittima non è neanche venuto in mente che lo staff di un ristorante non chiamerebbe mai per confermare i dati della carta di credito! Ma non contenti di aver ottenuto i numeri della carta, i truffatori poco dopo hanno richiamato millantando problemi con la stessa e chiedendo sempre alla povera vittima il codice di sicurezza che le era stato recapitato sul cellulare.

In realtà questo codice era necessario ai Criminal Hacker per autorizzare la transazione fraudolenta che avevano appena fatto dalla carta sottratta poco prima. Con queste informazioni i Criminal Hacker, alla fine, sono riusciti ad intascarsi più di 1500 euro di acquisti presso un famoso e-commerce.

È quanto successo appunto agli ospiti del Ritz di Londra, un campanello di allarme piuttosto inquietante su quanto i Criminal Hacker stiano ampliando il loro arsenale di tecniche e quanto stiano aumentando la sofisticazione delle loro tecniche.

Vishing: significato e funzionamento per il phishing vocale - Sicurezza Informatica - Nexsys

Vishing: tra guadagno e leve psicologiche

Le truffe telefoniche non sono nulla di nuovo, una volta bastavano un elenco telefonico e un po’ di astuzia. Classici come l’agenzia delle entrate che ha bisogno urgentemente che paghiamo una multa, l’Enel che minaccia di staccare la corrente… insomma, una tattica conosciuta da tempo, anche prima di internet, che si avvale però delle nuove informazioni estraibili dalla rete per essere più efficiente ed efficace.

Ogni anno questo tipo di attacchi costano circa 50 miliardi a privati e aziende. E quando colpiscono le seconde, l’impatto può essere ancora più devastante perché oltre a poter potenzialmente violare Database, conti corrente o account, potrebbero dare inizio a una seconda ondata di Vishing alimentata dai dati rubati nella prima.

Il vishing, così come il phishing, sono ovviamente guidati da motivazioni finanziare. I pericoli legati alla criminalità informatica, purtroppo, sono qui per rimanere, anzi, forse a causa della Pandemia sono addirittura peggiorati. Il punto è che la forza di queste truffe è la natura umana, gli esseri umani tendono a essere “creduloni”, soprattutto quando messi alle strette.

Il mondo si sta muovendo in un’epoca dove le rapine non saranno più fatte con un passamontagna, ma con un laptop. Sta anche a noi imparare a riconoscere e a prevenire queste minacce. Il consiglio è prudenza, mai abbassare la guardia ed aumentare il livello di consapevolezza magari attraverso un corso di Cybersecurity Ethical Hacking.

Gli Ethical Hacker sono le figure di spicco in questo ambiente; padroneggiano gli stessi strumenti utilizzati dagli hacker e sfruttano il punto di vista di un attaccante per mettere in campo contromisure utili alla protezione dei sistemi. Il corso permette di formare solide basi per arrivare a specializzarsi in tematiche particolari come Vulnerability Assessment, Penetration Test, Malware Analysis, Incident Response, Digital Forensics. Contattaci per ulteriori informazioni!