La celebrazione del #CybersecurityAwarenessMonth del 2023 si concentra sulla definizione di un comportamento sicuro seguendo quattro semplici passaggi: utilizzare password complesse e un gestore di password, implementare MFA ove possibile, mantenere il software costantemente aggiornato e riconoscere e segnalare tentativi di phishing. Molte organizzazioni addestrano i dipendenti a individuare le e-mail di phishing, ma poche sensibilizzano le persone sulle truffe telefoniche di vishing.
Phishing e Vishing
“Sebbene la posta elettronica sia ancora il meccanismo più comune per l’ingegneria sociale, assistiamo sempre più spesso ad attacchi tramite social media, piattaforme come WhatsApp, compromissioni fisiche, posta ordinaria e telefonate”, afferma l’hacker etico FC in un blog.
La maggior parte delle persone conosce il termine phishing, ma non tutti conoscono il vishing. Si tratta di un tipo di attività fraudolenta che rientra nella categoria generale del phishing e mira a raggiungere gli stessi obiettivi. I Visher utilizzano software di alterazione della voce, messaggi di testo, ingegneria sociale e numeri di telefono fraudolenti per indurre gli utenti a rivelare informazioni sensibili. A differenza di altre forme di phishing, il vishing utilizza la voce come strumento principale di inganno. Lo smishing, invece, è un’altra forma di phishing che utilizza messaggi di testo SMS per prendere di mira gli utenti. Viene spesso utilizzato insieme alle chiamate vocali, a seconda dei metodi dell’aggressore.
Come funzionano i visher?
Gli aggressori di phishing spesso inviano numerosi messaggi e-mail a un elenco di potenziali bersagli. In generale, i phisher utilizzano messaggi e-mail accattivanti per indurre gli utenti a rispondere con informazioni sensibili o convincerli a fare clic su un collegamento in cui è ospitato malware. Inoltre, in alcuni attacchi di phishing vengono spesso utilizzati allegati dannosi.
Gli aggressori Vishing utilizzano in genere due metodi per ingannare le loro vittime. Il primo metodo prevede l’invio di un SMS a grandi quantità di potenziali vittime da un lungo elenco di numeri di telefono. Il messaggio potrebbe chiedere all’utente di chiamare il numero dell’aggressore. Il secondo metodo consiste nel creare un messaggio automatizzato e utilizzare la composizione automatica per contattare le potenziali vittime. I messaggi vocali generati dal computer senza alcun accento vengono utilizzati per guadagnare fiducia. Il messaggio vocale induce quindi l’utente a connettersi con un agente umano che porta avanti la truffa, oppure potrebbe chiedere all’utente di aprire un sito Web controllato dall’aggressore.
Quando un criminale informatico chiama qualcuno al telefono, utilizza varie tecniche di ingegneria sociale per fare appello agli istinti umani fondamentali della vittima di fiducia, paura, avidità e desiderio di aiutare. Il criminale può utilizzare uno o tutti questi metodi per convincere la vittima che sta facendo la cosa giusta, a seconda dello schema di vishing.
Ad esempio, i truffatori possono impersonare la moglie di un dipendente e chiedere al dipartimento delle risorse umane di ottenere urgentemente il numero di telefono del dipendente. Un altro esempio tipico è fingere di essere un nipote, chiedere soldi al nonno per aiutarlo in una situazione difficile.
I truffatori sono principalmente motivati finanziariamente. Utilizzeranno tutto il loro “fascino” per convincere le loro vittime a divulgare i dati del conto bancario o i dettagli della carta di credito. Potrebbero anche chiedere alla vittima di agire trasferendo fondi, inviando tramite e-mail documenti riservati relativi al lavoro o fornendo dettagli sul proprio datore di lavoro.
Come prevenire gli attacchi di vishing
Un tentativo di vishing è un attacco che richiede tempo. Il truffatore deve conquistare la fiducia della vittima o amplificare le emozioni di paura o avidità per convincerla a fare il passo successivo.
Tuttavia, la consapevolezza di questo metodo di ingegneria sociale è il passo più essenziale per prevenire il vishing. Le organizzazioni devono educare gli utenti per aiutarli a riconoscere gli attacchi di vishing e segnalarli. Inoltre, le persone dovrebbero essere caute nel fornire informazioni personali a qualcuno che le contatta tramite SMS o chiamate vocali. Qualsiasi istituzione legittima fornirà un numero principale da chiamare, consentendoti di verificare che la chiamata sia ufficiale prima di condividere qualsiasi dettaglio sensibile.
Un altro modo per proteggerci dal vishing è pensare razionalmente e identificare quando qualcuno sta cercando di giocare con le nostre emozioni esercitando pressione. Il modo migliore per farlo è fare una pausa, pensare alla conversazione e poi agire. Ricorda che le banche non ti chiederanno mai di rivelare alcun dato finanziario. E se il truffatore finge di essere tuo figlio o tua figlia, puoi sempre richiamarlo per verificare la fondatezza della storia.
Infine, una precauzione ragionevole è ignorare le chiamate o i messaggi provenienti da numeri sconosciuti e bloccare queste chiamate sul proprio cellulare. Se il truffatore utilizza tattiche sofisticate come lo spoofing dell’ID chiamante, non fornire mai informazioni sensibili indipendentemente da dove il chiamante afferma di lavorare.
