Abbiamo raccontato nei giorni scorsi della truffa telefonica ai danni dei correntisti di Intesa SanPaolo, raggiunti da un sedicente operatore 067 dell’istituto di credito torinese che provava a carpire dati sensibili agli ignari interlocutori. È quella pratica criminale che in gergo tecnico si chiama “vishing”.
Il “vishing” o “voice phishing” è una forma di truffa che il cybercriminale attua tramite l’impiego di servizi telefonici e metodi di ingegneria sociale, con lo scopo di ottenere da parte della vittima credenziali e altre informazioni utili per avere accesso a dati o servizi di pagamento e persino reimpiegarne l’identità.
La componente tecnologica di questa attività è il più delle volte limitato all’utilizzo di alcune funzioni VoIP per mascherare il numero chiamante o impostare sistemi di chiamata automatica, ricorrendo anche a deepfake vocali per la contraffazione della voce. La componente di maggiore successo della frode consiste nell’applicazione di metodi di ingegneria sociale. Similmente a quanto avviene per il phishing, infatti, sono sfruttati fondamentalmente due elementi: una ritenuta (e non comprovata) attendibilità della fonte della comunicazione e un senso d’urgenza indotto per timore o desiderio. Nella maggior parte dei casi, si viene contattati da un finto operatore di un call center riconducibile al proprio istituto bancario o anche altro servizio cui si è aderito, che espone un problema non immediatamente verificabile (ad esempio, un bug tecnico dei sistemi o la sospensione degli accessi per l’utente o una segnalazione di blocco di un rimborso) e si presenta come la soluzione per provvedere tempestivamente alla risoluzione dello stesso. L’ignara vittima, così, si trova il più delle volte indotta a dover decidere in brevissimo tempo sullo “sblocco” del problema, dando per scontata in premessa la genuinità dell’autore e dei contenuti della chiamata. In questo modo il cybercriminale conduce attentamente la vittima all’interno della trappola, alternando le richieste di informazioni ad azioni per rafforzare il convincimento circa l’attendibilità del percorso di risoluzione intrapreso. Vengono così ottenute credenziali di accesso, PIN, one-time password e autorizzazioni (anche di tipo biometrico), inficiando così la sicurezza fornita dai sistemi di autenticazione a due fattori o altre misure di sicurezza grazie ad un’inconsapevole collaborazione da parte dell’utente.
Come è possibile difendersi, dunque? Gli strumenti principali sono innanzitutto consapevolezza e cautela.
È bene essere consapevoli ovviamente dell’esistenza di tali tentativi di frode, ma ancor più della possibilità che alcuni dei dati siano già in possesso del truffatore, fra cui ad esempio il numero di carta di credito, e-mail collegata ad account di pagamento, sottoscrizione di un servizio, numero di telefono collegato ad un conto corrente. Ciò può essere dovuto ad un data leak anche risalente di qualche database mal custodito, ad attacchi mirati per la sottrazione di dati o anche perché noi stessi li abbiamo resi di pubblico accesso durante la nostra attività online (il più delle volte, tramite social network).
Certamente, l’adozione di sane abitudini di igiene digitale nell’impiego degli strumenti e nella non divulgazione dei propri dati durante la nostra attività online giova a prevenire l’esposizione dei nostri dati, ma per non diventare vittima di vishing è opportuno avere un approccio cauto nel momento in cui viene formulata, mediante qualsiasi mezzo, una richiesta riguardante alcune informazioni di carattere personale. Come regola aurea si deve sempre dubitare di richieste telefoniche in tal senso e non fornire mai le proprie credenziali di accesso o sblocco. Anzi: è consigliabile interrompere la comunicazione e chiamare direttamente il servizio clienti istituzionale della società coinvolta dalla telefonata, al fine di ottenere conferma o smentita della genuinità circa i contenuti della chiamata ricevuta.
