Che cos'è il Vishing?
Il vishing è definito come un attacco di cybersicurezza in cui un'entità malintenzionata contatta la vittima per telefono e tenta di guadagnarne la fiducia attraverso pratiche di social engineering per ottenere dati riservati, estrarre fondi o danneggiare in altro modo l'individuo.
Si tratta essenzialmente di un tipo di attacco di phishing effettuato attraverso i mezzi di comunicazione vocale, per questo chiamato attacco di vishing.
Meccanismo di attacco di vishing
Il vishing assume solitamente la forma di una telefonata urgente o fastidiosa. Ad esempio, il chiamante può affermare che il conto della vittima è stato violato e che ha bisogno di un numero PIN per convalidare la sua identità o riaprire il conto.
Possono anche affermare di chiamare per conto di un'agenzia governativa, come l'Internal Revenue Service (IRS) o la Social Security Administration. Possono anche insistere sul fatto che la vittima deve del denaro o ha vinto un concorso.
Questi sono tutti casi di "vishing" (come già detto, una frase che mescola "voce" e "phishing" per indicare una truffa telefonica). Phishing è un termine utilizzato per descrivere qualsiasi tentativo da parte di criminali informatici di ingannare le persone per indurle a consegnare denaro, dati personali o informazioni segrete. Allo stesso modo, anche la posta elettronica e i sistemi di messaggistica breve o di testo ("smishing") possono essere utilizzati per commettere frodi.
Il vishing è un crimine informatico in cui i criminali utilizzano i telefoni delle vittime per estrarre informazioni che potrebbero danneggiare la persona o avvantaggiare in qualche modo l'autore del reato.
I cybercriminali utilizzano sofisticate tecniche di social engineering per convincere le vittime a fornire dati personali e persino l'accesso a conti bancari o segreti commerciali. Come lo smishing e il phishing, il vishing si concentra sul persuadere le vittime che acconsentire alle richieste del chiamante è la risposta appropriata. I chiamanti spesso si spacciano per autorità governative, agenzia fiscale, istituto finanziario della vittima o polizia.
Il successo di questa tattica dipende da un'efficace ingegneria sociale, cioè dallo sfruttamento della psicologia di una persona per creare un effetto di persuasione. Gli autori del vishing utilizzano minacce o persuasione positiva per far credere alle vittime di dover fornire le informazioni richieste. Le vittime possono anche ricevere messaggi vocali minacciosi in cui si dice loro che rischiano un procedimento penale o il congelamento del conto bancario se non richiamano correttamente.
Come funziona il vishing?
Gli aggressori di phishing spesso utilizzano lo spoofing dell'ID del chiamante per ingannare le vittime e far loro credere che una telefonata provenga da un'azienda fidata o da un codice di quartiere locale.
Spesso agiscono come entità fidate per indurre le vittime a condividere i loro dati. Ad esempio, possono fingersi dirigenti di una banca o di un'agenzia di carte di credito, un creditore o un agente del fisco. Questi truffatori creano un senso di urgenza quando la vittima designata risponde al telefono per fare leva sui suoi sentimenti e costringerla a rispondere alle richieste.
Il vishing può assumere diverse forme, ma l'obiettivo è sempre lo stesso: ingannare la vittima per indurla a rivelare informazioni personali, sia per ottenere un guadagno monetario sia per commettere altri reati, come il furto di identità.
Uno dei motivi per cui questi attacchi possono essere persuasivi è che i truffatori possono utilizzare informazioni personali ottenute da altre fonti per far sembrare legittimi i tentativi di vishing.
I tipi di vishing più comuni
1. Wardialing
2. Attacchi basati su VoIP
3. Spoofing dell'ID chiamante
4. Scavenging in contenitori
1. Wardialing
Il wardialing utilizza vari tipi di tecnologie per comporre automaticamente un gran numero di numeri di telefono in rapida successione, di solito per scoprire falle nella sicurezza e nell'infrastruttura IT.
Gli hacker utilizzano spesso strumenti di wardialing per trovare modem non protetti, talvolta noti come "wardialers" o "demon dialers". Ci vuole pochissimo tempo
di farlo se il truffatore individua l'elenco dei numeri collegati ai modem.
2. Attacchi basati su VoIP
Il trasferimento di voce e contenuti multimediali attraverso una connessione Internet è noto come Voice over Internet Protocol (VoIP). Gli utenti possono effettuare chiamate vocali utilizzando il VoIP attraverso i loro computer, smartphone, altre piattaforme digitali come i telefoni VoIP e i siti abilitati alla Web Real Time Communication (WebRTC).
Il VoIP è una tecnologia vantaggiosa sia per i privati che per le aziende, poiché spesso contiene funzionalità aggiuntive non presenti nei sistemi telefonici tradizionali. È utile anche per le aziende come mezzo per unificare le comunicazioni.
Purtroppo, il VoIP può essere sfruttato da individui fraudolenti per avviare attacchi di vishing. L'aggressore registra un dominio e crea pagine di phishing che assomigliano alla pagina di accesso alla rete dell'organizzazione. Di conseguenza, le chiamate VoIP avviate dall'attore della minaccia sembrano provenire dalla stessa rete. Inoltre, poiché il VoIP spesso richiede l'autenticazione a più fattori, il chiamante può chiedere alla vittima di visitare la pagina fraudolenta e condividere i propri dati.
3. Spoofing dell'ID chiamante
Lo spoofing si verifica quando un chiamante falsifica di proposito le informazioni inviate allo schermo della chiamata in arrivo per nascondere la propria identità. I truffatori utilizzano spesso la tecnica dello "spoofing del vicino" per far sembrare che l'ID chiamante provenga da un numero locale o per impersonare un'azienda o un'istituzione governativa di cui la vittima si fida già.
Se si risponde a questa chiamata, l'aggressore tenta di rubare fondi o dati critici, che possono essere utilizzati per attività fraudolente. Gli script di truffa sono una parte importante degli attacchi di spoofing dell'ID chiamante, in quanto rafforzano ulteriormente la convinzione che il chiamante sia legittimo.
4. Scavenging in contenitori
Rovistare nei cestini della spazzatura - sia fisici che digitali - appartenenti a banche, edifici aziendali e altre istituzioni è un mezzo facile e popolare per raccogliere le informazioni di contatto delle vittime di vishing.
I criminali possono raccogliere informazioni sufficienti da documenti distrutti, dispositivi di archiviazione abbandonati, vecchi calendari, fotocopie e così via, per portare a termine un attacco di spear-phishing incentrato su un soggetto.
Prevenzione degli attacchi di phishing: otto buone pratiche per il 2022
Una volta che una persona è vittima di un attacco di vishing, è difficile annullarne gli effetti e recuperare i danni. Anche se le forze dell'ordine identificano il colpevole, recuperare i danni è una sfida. Per questo motivo è fondamentale adottare misure proattive per prevenire gli attacchi di vishing seguendo queste best practice:
Buone pratiche per prevenire il vishing
1. Avere una connessione VPN
Una rete privata virtuale (VPN) protegge le informazioni condivise su Internet e rende più difficile per i truffatori entrare in possesso dei vostri dati di contatto.
La VPN cripta il traffico di rete e lo invia attraverso un tunnel sicuro prima di raggiungere un server VPN che maschera il suo indirizzo IP. Di conseguenza, gli attori delle minacce non conosceranno la vostra posizione, rendendo difficile l'esecuzione di attacchi di social engineering. La vittima designata può semplicemente chiedere al chiamante la sua posizione per verificare se la chiamata è legittima.
2. Cercate le chiamate "urgenti".
Quando un chiamante crea un senso di urgenza, è bene considerarlo un segnale di allarme. Ad esempio, i vishers possono cercare di convincere la vittima che potrebbero esserci conseguenze negative se non consegnasse immediatamente i propri dati bancari o non pagasse una fattura non saldata.
Potete riagganciare o chiedere i dati di contatto del chiamante e dirgli che lo richiamerete più tardi. Se si tratta di una truffa, il chiamante di solito eserciterà maggiore pressione o riaggancerà.
3. Utilizzare gli strumenti di blocco delle chiamate rapide
Gli strumenti di blocco delle robocall, noti anche come filtri di chiamata, sono programmi informatici che rilevano le chiamate automatiche. Se un'entità terza ha utilizzato tecniche di wardialing, il robocall blocker lo identifica e lo blocca immediatamente.
4. Implementare i processi interni
Chi risponde al telefono quando squilla il numero generale dell'organizzazione? Potrebbe finire facilmente nelle mani del dipendente sbagliato?
Il passaggio del telefono da un utente all'altro può creare confusione e far perdere di vista ai dipendenti dell'organizzazione chi si trova all'altro capo della chiamata.
L'assunzione di un receptionist dedicato che filtri i cattivi dai buoni può essere utile in caso di necessità e garantisce che tutti i dipendenti controllino chi sta chiamando quando viene passato a qualcun altro.
Un'altra opzione è quella di creare un processo in cui il destinatario confermi con il "richiedente" direttamente attraverso un altro canale ufficiale prima di consegnargli il telefono.
5. Assicuratevi che tutti i dispositivi siano dotati di autenticazione a più fattori.
L'uso di password ad alta sicurezza va benissimo, ma l'autenticazione a più fattori fornisce quegli ulteriori livelli di sicurezza che garantiscono che il vostro account non possa essere compromesso con una sola password.
Google ha annunciato che l'autenticazione a più fattori sarà obbligatoria per 150 milioni di utenti entro il 2021 per fornire un maggiore livello di sicurezza contro le minacce e ridurre così il numero di account compromessi di 50%.
Conclusione
Il vishing potrebbe non essere una delle principali preoccupazioni della vostra azienda, ma dovrebbe esserlo. Per quanto intelligenti e capaci siano la vostra azienda e i vostri colleghi, le tattiche di social engineering sono abbastanza potenti da cogliere chiunque di sorpresa.
Ora che conoscete il vishing, è importante che condividiate queste informazioni con i vostri dipendenti.
Fate sapere che interrogare il chiamante e verificare le informazioni con qualcuno attraverso i canali ufficiali può fare la differenza tra la sicurezza dei dati e il rischio di un incidente informatico o di una violazione dei dati.
