Che cos’è il vishing?
Il vishing è una forma di attacco che tenta di indurre le vittime a dare informazioni personali sensibili al telefono. Anche se questo lo fa sembrare una truffa vecchio stile, gli attacchi di vishing hanno elementi di alta tecnologia: coinvolgono la tecnologia di simulazione vocale automatica, per esempio, o il truffatore può utilizzare informazioni personali sulla vittima raccolte da precedenti attacchi informatici per metterla a suo agio.
Non importa quale tecnologia viene utilizzata, la configurazione dell’attacco segue un familiare script di ingegneria sociale: Un attaccante crea uno scenario per sfruttare le emozioni umane, comunemente l’avidità o la paura, e convince la vittima a rivelare informazioni sensibili, come i numeri di carta di credito o le password. In questo senso, le tecniche di vishing rispecchiano le truffe di phishing che sono state in giro fin dagli anni ’90. Ma le chiamate di vishing sfruttano il fatto che siamo più propensi a fidarci di una voce umana – e possono prendere di mira gli anziani e i tecnofobici che sono ingenui e non hanno esperienza con questi tipi di truffe.
Statistiche di vishing
Questi numeri notevoli offrono un senso dello stato del vishing e perché può essere un business redditizio per gli attaccanti.
- Gli attacchi di vishing sono stati in aumento negli ultimi anni. Nel 2018, le chiamate truffa hanno rappresentato quasi il 30% di tutte le chiamate mobili in entrata.
- Quindi non dovrebbe sorprendere che questo strano termine stia iniziando ad essere più ampiamente riconosciuto. Il rapporto 2020 State of the Phish di Proofpoint ha rilevato che il 25% dei lavoratori nel loro sondaggio mondiale potrebbe definire correttamente il termine.
- Il 75% delle vittime di scam riferisce che i vishers avevano già alcune informazioni personali su di loro, che hanno usato per prenderli di mira e ottenere ancora più informazioni.
- Tra le persone che segnalano alla FTC le truffe di vishing da parte di impostori governativi, solo il 6% ha effettivamente perso denaro – ma quelli che lo hanno fatto hanno perso un bel po’, con una perdita mediana di 960 dollari.
Vishing vs. phishing vs. smishing: che differenza c’è? smishing: qual è la differenza?
Il phishing è il nonno di tutti, e CSO ha una spiegazione completa con tutti i dettagli, ma in sostanza si tratta di inviare messaggi e-mail mirati per ingannare i destinatari. “Phish” si pronuncia proprio come si scrive, cioè come la parola “pesce” – l’analogia è quella di un pescatore che lancia un amo con esca (l’email di phishing) e spera che abbocchi. Il termine è nato a metà degli anni ’90 tra gli hacker che miravano a ingannare gli utenti di AOL a dare le loro informazioni di accesso. Il “ph” fa parte di una tradizione di ortografia stravagante degli hacker, ed è stato probabilmente influenzato dal termine “phreaking”, abbreviazione di “phone phreaking”, una prima forma di hacking che implicava la riproduzione di toni sonori nei telefoni per ottenere chiamate gratuite.
Il vishing è, essenzialmente, il phishing attraverso le telefonate. Proprio come il phishing è considerato un sottoinsieme dello spam, così il vishing è una derivazione dello spam VoIP, noto anche come spam su telefonia, o SPIT. Il termine stesso “vishing” esiste dalla fine degli anni ’00.
Lo “smishing” è un tipo simile di attacco che utilizza messaggi di testo invece di e-mail o chiamate vocali; la parola è un portmanteau di “SMS” e “phishing”. Per saperne di più sullo smishing, date un’occhiata alla nostra spiegazione sull’argomento.
Tecniche di vishing
Quasi tutti gli attacchi di vishing hanno alcune cose in comune. Le telefonate sono inizialmente effettuate tramite servizi VoIP (Voice over IP), il che rende più facile per i vichinghi automatizzare parte o tutto il processo e più difficile per le vittime o le forze dell’ordine da rintracciare. E l’obiettivo finale degli aggressori è quello di trarre profitto da voi in qualche modo – sia raccogliendo informazioni sul conto bancario o altri dettagli personali che possono utilizzare per accedere ai vostri conti bancari, sia inducendovi a pagarli direttamente.
Ma nell’universo delle truffe di vishing, c’è una vasta gamma di tecniche e strategie. Si va dagli attacchi “a raffica”, in gran parte automatizzati, che prendono di mira molte potenziali vittime nella speranza di qualche morso, alle truffe mirate al laser che prendono di mira un obiettivo specifico di alto valore.
La forma forse più diffusa di vishing inizia con il cosiddetto “wardialing”, cioè centinaia o migliaia di chiamate automatiche a centinaia o migliaia di numeri. La potenziale vittima (o la sua casella vocale) riceverà una registrazione destinata a spaventarla o ingannarla per farle iniziare una telefonata ai truffatori. Spesso i vichinghi affermano di essere dell’IRS o di qualche altra agenzia governativa, o di una banca o di una cooperativa di credito. Il wardialing si concentra su un prefisso specifico e usa il nome di un’istituzione locale nella speranza di trovare clienti reali.
Una variazione di questa tecnica coinvolge l’uso di finestre popup sul tuo computer, spesso piantate da malware, per simulare un avviso dal tuo sistema operativo su qualche problema tecnico. Alla vittima viene detto che deve chiamare il “supporto Microsoft” o qualcosa di simile e viene dato un numero di telefono. Questo li mette in linea con il visitatore, che può finire per usare una combinazione di risposte vocali reali e automatiche durante la vostra conversazione – ancora una volta, l’obiettivo qui è quello di ottenere il massimo ritorno con poco sforzo.
Spear vishing
In questo tipo di attacchi a sorpresa, i vishers generalmente non sanno quasi nulla di voi e dovranno bluffare per farvi credere di essere chi dicono di essere; per questo motivo, possono essere individuati relativamente facilmente. Molto più preoccupanti, tuttavia, sono i visher che si rivolgono a voi in modo specifico. Questa tecnica è conosciuta come “spear vishing”; come lo spear phishing, richiede che gli attaccanti abbiano già alcuni dati sul loro obiettivo. Per esempio, uno spear visher può già conoscere il vostro indirizzo di casa e la vostra banca prima di chiamarvi, rendendo più facile per loro ingannarvi nel dirgli il vostro PIN.
Ma come fanno a sapere già così tanto di voi? “Molti di questi dati provengono dal dark web, che spesso ha origine da violazioni di dati”, dice Paige Schaffer, CEO dei servizi Global Identity and Cyber Protection di Generali Global Assistance (GGA). Quindi, quando leggete di grandi violazioni di dati, sappiate che possono contribuire a rendere il vishing molto più facile. Può sembrare strano che un aggressore che ha già le tue informazioni personali sia desideroso di ottenere di più, ma come sottolinea Schaffer, “più informazioni un truffatore ha, più danni può fare”. Perché accontentarsi delle ultime quattro cifre del SSN quando possono potenzialmente farti consegnare le altre cinque? Un SSN completo permette loro di aprire carte di credito fraudolente, prestiti e altro.”
Se tutto questo suona come molto più lavoro che chiamare qualcuno e dirgli che sei dell’IRS, hai ragione. Ma la maggior parte delle persone – specialmente gli obiettivi di alto valore, che sono spesso più istruiti e cybersavvy – vedranno bene attraverso queste truffe più semplici. Se la ricompensa è abbastanza grande, può valere il tempo di costruire un’identità convincente per scuotere le informazioni dalla vittima. “Un hacker potrebbe aver lavorato pazientemente per acquisire informazioni nel tempo dalla vittima attraverso e-mail di phishing, o catturarle attraverso il malware”, dice Schaffer. “Quando gli spear vishers vanno a caccia di ‘pesci’ più grandi (per così dire) come gli amministratori delegati, noi lo chiamiamo ‘whaling'”. E con il miglioramento delle tecniche di simulazione vocale, i whaler hanno ancora più strumenti nel loro arsenale, con la capacità di imitare persone specifiche per cercare di ingannare le loro vittime.
Esempi di vishing
Finora, siamo stati un po’ vaghi circa le truffe specifiche che i vishers faranno per ottenere i vostri soldi o informazioni personali. HashedOut li suddivide in quattro grandi categorie:
Telemarketing fraud. Questi tipi di truffe sono onestamente precedenti all’era del vishing, ma hanno adottato molte delle loro tecniche. Il visher vi chiamerà a freddo senza alcuna conoscenza di base su chi siete e farà un’offerta che è troppo bella per essere vera: avete vinto una lotteria a cui non avete mai partecipato, vi è stata offerta una vacanza gratuita al Marriott, potete ridurre gli interessi sulla vostra carta di credito, ecc. Di solito c’è un costo anticipato per ottenere il tuo denaro “gratis”, e naturalmente l’esca che ti è stata promessa non arriva mai.
Impersonaggi governativi. Una truffa comune consiste nell’insinuare che un problema sta bloccando i benefici che la vittima dovrebbe ricevere, come i pagamenti di Medicare o della previdenza sociale; l’offerta di “risolvere” il problema apre la porta a convincere la vittima a consegnare informazioni personali, come la previdenza sociale o i numeri di conto corrente. Una versione più aggressiva di questo viene da falsi “investigatori” dell’IRS, che spesso affermano che le vittime devono tasse arretrate e le minacciano di multe o di prigione. Questo video mostra un ufficiale di polizia che interagisce con uno di questi truffatori.
Non è insolito per questi tipi di truffatori chiedere di essere pagati dalla vittima comprando carte regalo Amazon e poi leggendo loro i numeri sul retro, poiché gli acquisti della carta non possono essere tracciati. Questo è un buon suggerimento che non avete a che fare con un’agenzia governativa!
Truffa del supporto tecnico. Ne abbiamo discusso un po’ sopra – i truffatori possono approfittare dei tecnologicamente ingenui e delle loro preoccupazioni di essere hackerati, usando annunci popup o malware mascherati da un avviso del sistema operativo per ingannare le vittime a chiamare i vishers. Kapersky avverte di una variante di questa truffa che è fondamentalmente un tipo di ransomware: il malware blocca il PC ma fornisce un numero di “supporto tecnico”, dove un gentile “tecnico” – in realtà parte della banda che ha installato il malware in primo luogo – sistemerà il tuo computer, per un prezzo, lasciandoti pensare che ti hanno effettivamente aiutato.
Attacchi Vishing sui conti bancari. Ottenere l’accesso alle tue informazioni bancarie è, naturalmente, il Santo Graal di un visher. E se un attaccante ha già accesso ad alcuni dei vostri dati personali da un’altra fonte, come abbiamo discusso prima, può facilmente emulare il tipo di chiamate legittime che ci si aspetta di ricevere dal proprio istituto finanziario, in un modo che può ingannare anche i più esperti tra noi. Il fondatore di Panic Inc. Caleb Sasser ha raccontato a Krebs on Security un racconto straziante di un attacco di vishing quasi riuscito. L’aggressore è riuscito a falsificare con successo il proprio numero di telefono per farlo corrispondere a quello della Wells Fargo, la banca di Sasser, e ha affermato di stare seguendo alcune spese potenzialmente fraudolente. Dal momento che la “banca” si stava offrendo di inviare una nuova carta bancomat, Sasser è quasi arrivato al punto di inserire un nuovo PIN nel suo telefono prima di tirarsi indietro all’ultimo minuto; se lo avesse fatto, i vishers sarebbero stati in grado di clonare la sua carta e usarla liberamente.
Questi tipi di truffatori sono più propensi ad andare a caccia, cercando obiettivi di valore molto alto per aiutarli ad arricchirsi rapidamente. Una variante è diventata nota come la “truffa del venerdì pomeriggio”, in cui i vichinghi chiamano una società di investimenti o altri obiettivi ricchi proprio alla fine della settimana lavorativa, contando sul fatto che la persona che risponde al telefono sia stanca e distratta e che abbassi la guardia.
Come prevenire il vishing
Se stai cercando di identificare ed evitare il vishing, speriamo che il materiale che abbiamo trattato finora ti aiuti a sapere cosa cercare. La FTC ha un buon riassunto dei punti chiave che tutti dovrebbero conoscere:
- Essere sospettosi di una chiamata che afferma di essere da un ente governativo che chiede soldi o informazioni. Le agenzie governative non vi chiamano mai all’improvviso chiedendo – o offrendo – denaro. In caso di dubbio, riattacca, cerca indipendentemente il vero numero dell’agenzia e chiamali per scoprire se stanno cercando di raggiungerti.
- Non pagare mai nulla con una carta regalo o un bonifico bancario. Questo è un forte segno di una truffa.
- Non fidarti dell’ID del chiamante. È molto facile da falsificare.
Kapersky ha un’altra buona regola empirica: una cosa che ogni truffa vishing ha in comune è il tentativo di creare un falso senso di urgenza, facendovi pensare che siete nei guai o state per perdere un’opportunità e dovete agire subito. Non fa mai male prendersi un momento di pausa, scrivere informazioni sul chiamante senza offrire nessuna delle proprie, e poi richiamare dopo aver fatto ricerche.
Se volete prendere misure proattive per proteggere la vostra organizzazione, potreste voler includere il vishing come parte di una formazione sulla sicurezza. Diversi fornitori offrono piattaforme di vishing simulato che possono aiutarvi a scoprire le vulnerabilità negli atteggiamenti del personale e dimostrare la natura della minaccia ai vostri dipendenti.