Indice argomenti
E’ la tecnica di attacco informatico che spopola in Italia tra fine 2020 e inizio 2021. Ecco come gli hacker portano a termine gli attacchi vishing negli ultimi tempi. Scopriamo insieme di che cosa si tratta.
Email fraudolente, finte telefonate, inganni e strategie: vi sembra poco?
Addirittura, avete mai ricevuto una strana telefonata da parte di un call center o da parte di una voce che sembrava essere registrata?
In questo caso può darsi che siate venuti in contatto con il primo caso di vishing della vostra vita.
Vishing significato
Il vishing rientra a pieno titolo nella categoria di attacchi informatici di phishing, ovvero quelle che in gergo semplicistico vengono definite truffe via telefono.
A differenza dei casi di normale phishing e smishing (o SMS phishing), l’hacker che sfrutta la tecnica di voice phishing cercherà di sottrarvi informazioni private chiedendovele via chiamata.
In breve, per portare a termine un attacco vishing; l’hacker predispone una chiamata verso il numero di telefono della vittima, si fingerà un operatore di call center che lavora per una banca, un operatore telefonico, un’azienda che fornisce energia, ecc.
Nella telefonata l’hacker spinge la vittima a rivelare alcune informazioni personali come nome e cognome, numero cliente, email, dati bancari e molto altro.
Il vishing è considerato estremamente pericoloso soprattutto perché colpisce sia numeri di cellulare che numeri di telefono fisso. Se al telefono risponde una persona anziana o un adolescente ingenuo, per l’hacker sarà un vero gioco da ragazzi riuscire a portare a termine l’attacco e farsi dire tutto ciò di cui ha bisogno.
Per questo motivo, è opportuno conoscere tutte le sfaccettature della medaglia: conoscere il fenomeno è l’unico modo per difendersi.
L’evoluzione del phishing arriva anche via telefono, e i casi oggetto sono davvero tanti
Il vishing rappresenta una tecnica d’attacco che sfrutta l’emotività innata di ogni uomo presente sulla Terra ed è per questo motivo che viene considerato estremamente pericoloso. Quando rispondiamo ad una chiamata telefonica, ognuno di noi prova delle emozioni uniche: paura, timidezza, impazienza, curiosità e ancora, soggezione. Gli hacker hanno imparato a manovrare queste emozioni e sfruttarle a loro vantaggio: ecco perché sanno quali leve premere nel casi di chiamate fraudolente.
La tecnica che permette agli hacker di sfruttare le debolezze dell’emotività umana viene chiamata social engineering (o ingegneria sociale) ed è proprio grazie a questa componente che l’aggressore riesce a nascondere la propria identità di hacker e truffare l’individuo. Un visher (o l’hacker che utilizza le tecniche di vishing) infatti farà leva su alcuni trucchetti psicologici per convincere il mal capitato a rivelare qualche informazione personale.
Un esempio di truffa vishing
Buongiorno signore, la chiamo dall’ufficio della banca: un malintenzionato ha tentato pochi minuti fa di rubare i dati della sua carta di credito. Per maggior sicurezza, ci fornisca le sue credenziali, così potremo confermare che i suoi dati siano ancora protetti. In caso contrario saremo costretti a bloccare il conto e tutte le carte ad esso connesse.
Riassumente per punti:
- l’hacker chiama direttamente la vittima o predispone attraverso un centralino VoIP con voce automatizzata che chiami;
- Il pirata informatico espone alla vittima il problema (si presenta come professionista credibile citando l’azienda per cui lavora e agita la vittima esponendo il problema);
- Offre una soluzione immediata, senza fatica e sicura alla vittima;
- Inserisce un elemento di urgenza tale per cui la vittima si trovi in difficoltà e debba prendere una decisione in tempi rapidi.
I raggiri telefonici esistono da decenni, ma il vishing propriamente detto nasce a partire dal 2006 oltre oceano per poi arrivare nella nostra nazione in breve tempo.
Se anche voi siete stati contattati telefonicamente da finti operatori bancari e avete ceduto i vostri dati ecco che cosa dovete fare.
E’ successo, siete caduti nella trappola dell’hacker e siete rimasti vittima di un attacco vishing. Non solo il pirata informatico è a conoscenza di molte informazioni personali sul vostro conto, ma è stato fatto un prelievo illecito dal vostro conto corrente.
La domanda è: posso chiedere un rimborso?
Secondo l’Arbitro Bancario Finanziario ovvero l’ente che si occupa di risolvere le controversie tra clienti e enti bancari, si è espresso a favore delle vittime di vishing. Queste ultime infatti, hanno diritto al rimborso.
Addirittura, la Corte di Cassazione ha stabilito nel 2020 che la banca è tenuta a risarcire il cliente se il prelievo non è riconducibile alla sua volontà. La banca ha l’obbligo di tutelare il proprio cliente, su cui non può certo ricadere la sola responsabilità dell’accaduto.
Nel caso in cui la banca si rifiuta di fare quanto detto sopra è possibile rivolgersi alle associazioni di consumatori.
Riconoscere un attacco vishing quando lo avrete trovato può rivelarsi una massa fondamentale: premettendo che buon senso e diffidenza sono le due regole auree alle quali ci appelliamo. I consigli di Onorato Informatica in merito alla protezione anti-vishing sono:
- Non fornire mai informazioni relativamente a: nome, cognome, numero di telefono, numero di carta di credito, PIN del cellulare, numero cliente, CVC della carta di credito;
- Se l’interlocutore vi chiede di predisporre un bonifico bancario, rifiutate la richiesta;
- Annotate il nome dell’azienda che vi sta chiamando, se si tratta di un nome conosciuto prendete immediatamente contatti con l’azienda madre (verificando sul loro sito internet quali sono i contatti) e verificate la veridicità di quanto vi è stato richiesto
- Segnalate alla Banca il problema che avete riscontrato;
- Interrompete quanto prima la chiamata vishing, se vi siete accorti che si tratta di una truffa.
Chi è Onorato Informatica?
Siamo un’azienda di sicurezza informatica, certificata ISO27001 e ISO9001
In questo articolo abbiamo parlato di Vishing, ma sappiamo bene che la prudenza non basta. Ecco per quale motivo dovresti rivolgerti a noi.
Onorato Informatica è un’azienda specializzata in sicurezza informatica dal 2006. Siamo un’azienda informatica italiana di Mantova, Parma, Milano e Los Angeles.
Onorato Informatica è certificata ISO 9001 e ISO 27001 e nell’oggetto delle certificazioni sono inseriti anche i servizi di Vulnerability Assessment e Penetration Testing. Contattaci!
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.
