Che cos’è il vishing

Prima di parlare di vishing è importante capire cos’è il phishing. Si tratta di un particolare tipo di attacco in cui la vittima riceve un messaggio apparentemente legittimo che la convince a rivelare informazioni personali a un malintenzionato, il quale potrà poi utilizzarle per eseguire altri tipi di attacchi o di truffe.

Un esempio classico di phishing è quello di un truffatore che invia all’utente un’e-mail in tutto e per tutto simile a quelle inviate solitamente dalla propria banca, con un link a una pagina anch’essa simile al sito dell’istituto, in cui è richiesto di inserire i propri dati d’accesso al conto. Spesso l’e-mail è mascherata da messaggio di sicurezza, in cui viene spiegato alla vittima che per rendere più sicuro il proprio account è necessario cliccare proprio sul link malevolo. Una volta inserite le informazioni nel sito fasullo, queste potrebbero essere utilizzate per molti scopi diversi, ad esempio ricatti o furti di denaro.

Per eseguire un attacco di phishing, il truffatore deve però prima di tutto ottenere alcune informazioni personali di base della sua vittima: ad esempio, il nome e l’indirizzo e-mail, ma anche di quale banca si serve o a quali servizi è abbonato (dipende dal tipo di truffa). Queste informazioni vengono ottenute tramite quella che è comunemente nota come social engineering, in italiano “ingegneria sociale”. Molto spesso, infatti, il malintenzionato è in grado di ottenere queste informazioni semplicemente osservando le pagine social della vittima.

Il significato di vishing, come già accennato, è quello di voice phishing o “phishing vocale”. Quindi non è altro che un attacco di phishing eseguito però non tramite e-mail o messaggio ma tramite telefono o app per le chiamate.

Un esempio di vishing è quello che vede il truffatore chiamare la sua vittima fingendosi un impiegato di una banca o di un’agenzia statale e chiedere di rivelare alcune informazioni personali; a volte, la chiamata non è eseguita da una persona in carne e ossa ma da una voce automatica, che sembra legittimare il fatto che si tratti di un’operazione ufficiale.

Se la vittima rivela queste informazioni, il truffatore ne può poi disporre come meglio crede.

Ci sono molti metodi usati dagli hacker per eseguire attacchi di vishing, ed è importante conoscerli per proteggersi.

In questo tipo di attacco, il truffatore chiama la sua vittima e si finge dipendente di una qualche azienda, presentando all’utente un’offerta particolarmente allettante. Per poter ottenere questa offerta, però, viene richiesto di rivelare alcune informazioni personali, come dati anagrafici e bancari.

Questo tipo di attacco prevede che il truffatore si finga un dipendente di un’agenzia statale, ad esempio l’INPS o l’Agenzia delle Entrate. In questo caso, si fa leva sull’importanza e sull’urgenza dell’argomento trattato. Un metodo molto utilizzato è quello in cui il truffatore comunica che ci sono stati dei problemi nel versamento di contributi e che, per rettificare la propria posizione, è necessario fornire informazioni come codice fiscale, coordinate bancarie, ecc.

In certi casi, il truffatore chiama fingendosi un tecnico o un dipendente di un’azienda di cui si è clienti. Ad esempio, potrebbe chiamare un presunto dipendente della propria compagnia telefonica che dice di aver bisogno di alcune informazioni per migliorare il servizio, o un presunto dipendente dell’azienda che eroga il gas che ha bisogno di informazioni per riparare un guasto.

Un caso potenzialmente molto pericoloso è quello delle intercettazioni: se un truffatore ha il telefono sotto controllo, potrebbe essere in grado di intercettare tutte le comunicazioni e riuscire così a ottenere dati sensibili senza che l’utente si accorga di nulla. Questo è ovviamente uno degli scenari più spaventosi perché è molto più difficile difendersi da qualcosa di invisibile.

Per difendersi da questi tipi di attacchi si può ricorrere a diverse soluzioni.

1. Fare attenzione a tutte le chiamate che si ricevono. Spesso le chiamate di vishing sono effettuate da numeri anonimi o con prefissi strani, quindi bisognerebbe sempre diffidare da telefonate di questo tipo. Inoltre, potrebbe essere una buona idea chiedere di poter richiamare al numero dell’assistenza, in modo da essere sicuri che si tratta di una chiamata legittima: se l’interlocutore insiste, probabilmente sta cercando di truffarvi.
2. Non condividere informazioni personali sui social. Una delle tecniche più usate per ottenere informazioni personali è semplicemente quella di osservare i contenuti delle proprie pagine social. È quindi molto importante evitare di condividere informazioni come i servizi a cui si è abbonati, il proprio numero di telefono e altri dati sensibili.
3. Usare una VPN. Con una VPN non si possono evitare gli attacchi di vishing in sé ma è possibile difendersi dalle intercettazioni. Grazie alla VPN, infatti, il traffico è crittografato ed è molto più difficile scaricare accidentalmente un’app malevola che permetta agli hacker di intercettare le conversazioni. Con la Threat Protection di NordVPN, poi, è possibile anche bloccare i siti malevoli e rilevare il malware prima ancora che venga scaricato, e questo garantisce un livello di protezione più elevato.