> > Il voice phishing: una delle minacce più emergenti del 2022

Il voice phishing: una delle minacce più emergenti del 2022

Voice phishing: una delle minacce del 2022

All’interno della categoria di phishing è emerso il vishing, truffe attraverso le chiamate telefoniche: scopriamo come proteggersi.

Internet è la modalità di comunicazione ormai più potente e utilizzata al mondo: e-mail, messaggi e chiamate corrono attraverso il web a ritmi incessanti, sia da parte delle persone che dei bot. I truffatori digitali ovviamente si sono adeguati all’utilizzo che viene fatto della rete, e all’interno della categoria generale di phishing è emersa una nuova tendenza, nota come vishing, un termine che sintetizza due parole, voice + phishing. Più precisamente, si tratta di quelle truffe che avvengono attraverso le chiamate telefoniche e che vanno ben oltre quelle noiose telefonate commerciali effettuate dai call center che, ad ogni ora del giorno, vogliono offrirci abbonamenti improbabili e vendite di beni e servizi.

Cerchiamo di capire meglio come funziona questa modalità di truffa che è in ascesa non solo costante, ma anche rapida: secondo quanto riportato da Agari and PhishLabs, il trend del vishing è aumentato nel 2022 del 550% rispetto all’anno precedente. Anche la Polizia postale ha riportato un netto aumento di denunce relative a questo tipo di attacco: purtroppo, le sventurate vittime si accorgono di essere state ingannate solo a truffa già completata.

Ma come riescono questi hacker a portare a termine il loro tranello? Innanzitutto, vengono utilizzati i sistemi VoIP (Voice over IP) che consentono la trasmissione della voce tramite Internet, ad esempio Skype o le chiamate tramite WA. A questo punto, il truffatore si presenta con un’identità ovviamente falsa, ad esempio:

  • Può proporsi come un impiegato di una banca, di un ufficio pubblico o come un tecnico della manutenzione (qui la fantasia non ha limiti!) che contatta l’utente per finalizzare un’operazione, facendo leva su un rapporto di pregressa conoscenza e fiducia.
  • Lo scammer potrebbe anche presentarsi come un innocente rappresentante che offre ad esempio un servizio finanziario o l’acquisto di un bene a delle condizioni economiche particolarmente convenienti, a patto che la sottoscrizione avvenga al momento, dietro comunicazione immediata dei propri dati.
  • Purtroppo, la malafede dei truffatori arriva anche a toccare l’aspetto delle donazioni e della beneficienza. Infatti, non è infrequente che l’inganno faccia leva sulla generosità e sulla solidarietà degli utenti, che comunicano dati personali e sensibili a fin di bene.

Il più delle volte, ai fini dell’esecuzione di questa fantomatica operazione, la vittima della truffa deve comunicare dei dati personali, ad esempio il codice di accesso al proprio online banking, il numero di codice fiscale o altre credenziali. Nel giro di pochi minuti, la sventurata vittima si accorge che sulla propria carta bancaria sono stati effettuati degli addebiti non autorizzati. Risalire all’autore del fatto è un’operazione molto complessa e che spesso non porta a esiti positivi.

Anche nel caso del vishing quindi, la prevenzione è il modo migliore per evitare brutte sorprese.

Come proteggersi dal vishing e dagli altri rischi della rete

Più gli attacchi dei cyber criminali si fanno aggressivi, maggiore è la consapevolezza di doversi proteggere. Il vishing è una delle modalità con cui gli scammer prendono di mira non solo le società ma anche i singoli utenti, finalizzando frodi informatiche di portata allarmante. Quali sono quindi le modalità con cui difendersi da queste insidie del web, che danno filo da torcere anche agli stessi esperti di informatica?

  1. La prima regola, che vale sia nel vishing che nel phishing in generale, è quella della diffidenza: molti tentativi di truffa possono essere bloccati sul nascere evitando di dare fiducia a coloro che tentano di entrare in contatto con noi, sia tramite messaggio che attraverso chiamata vocale.
  2. Occorre poi tenere al sicuro sia il proprio dispositivo che la rete attraverso cui ci connettiamo. Riguardo quest’ultima, un VPN download è un valido aiuto, dato che consente di criptare la connessione grazie all’utilizzo di una rete che funziona come una sorta di tunnel. Oltre a criptare quindi la tua attività in rete, una VPN protegge le tue informazioni e nasconde la tua localizzazione.
  3. Installa dei software antivirus e dei firewall, in modo da rafforzare il più possibile la barriera tra il tuo dispositivo e le potenziali aggressioni.
  4. Fai attenzione anche ai siti a cui accedi: prima di entrare, assicurati che l’indirizzo del sito inizi con “https” o che abbia il simbolo del lucchetto, dato che solo in questo caso puoi essere sicuro che si tratti di siti con un certificato di sicurezza.
  5. Utilizza delle password difficili da svelare e cambiale di frequente. Inoltre, attiva la verifica 2FA e, se disponibile, utilizza la verifica biometrica per modalità di accesso tramite rilevazione del volto o impronte digitali.
  6. Scarica sempre gli aggiornamenti sul tuo PC: la maggior parte di essi è dedicato alla sicurezza e mira a migliorare il livello di protezione del tuo dispositivo.
  7. Anche dopo aver applicato tutte le misure di sicurezza consigliate, evita di cliccare su link e di scaricare allegati provenienti da e-mail sospette. A volte anche il tasto “Annulla l’iscrizione” può contenere un collegamento dannoso.

Le truffe informatiche più frequenti oltre al vishing

Diamo un’occhiata ora a quali sono le modalità di attacco più frequenti che gli utenti possono subire. In linea di massima, le aggressioni online possono riguardare la violazione dei dati, il furto dei dati o l’interruzione della rete. In termini più concreti quindi potremmo dover affrontare:

  • I malware, ovvero dei software che si attaccano letteralmente al nostro dispositivo e che in genere vengono scaricati involontariamente accedendo a un sito, cliccando su un pop up o scaricando software o allegati dannosi. I danni possono essere di vario tipo e riguardare sia i file salvati sul nostro PC che l’interazione stessa con il dispositivo.
  • Gli attacchi phishing hanno la finalità specifica di rubare dati sensibili, come abbiamo visto poco fa. Il phishing generale ha al proprio interno diverse categorie, che si suddividono anche in base al destinatario della minaccia: possono esserci utenti ben definiti e in questo parliamo di spear phishing. Anche i social network sono ormai il bersaglio preferito di specifici attacchi che possono prendere di mira i profili degli utenti, inclusi quelli aziendali.
  • I DDoS, acronimo per Distributed Denial of Service, rappresentano invece una tipologia di minaccia che va a interferire con l’operatività della rete. Ad essere presi di mira sono i server di una società o un’organizzazione: i rispettivi utenti non riescono più a interagire con il sito o l’interazione è talmente rallentata da essere considerata impraticabile. A volte tali attacchi terminano da soli; altre volte viene chiesto il pagamento di una somma di denaro in cambio della riattivazione del normale servizio.

A seguito dalla digitalizzazione di massa avvenuta durante il Covid, le possibilità di subire attacchi sono aumentate considerevolmente: anche un rapporto dell’FBI ha evidenziato come il vishing sia una delle modalità e delle tecniche maggiormente utilizzate dai cyber criminali nelle aziende, grazie al maggiore utilizzo del lavoro da remoto.