Il vishing non è una novità, dal momento che grazie a delle telefonate attentamente progettate un criminale può essere in grado di carpire con facilità informazioni dalle proprie vittime. L’impiego di alcune leve proprie dei metodi di ingegneria sociale, quali ad esempio paura, autorità, desiderio, e un indotto senso di urgenza, può far cadere in trappola e, spesso, si resta anche inconsapevoli di essere stati oggetto di una frode fintanto che il danno non viene prodotto. Nel caso della sottrazione di dati personali e furti di identità, è anche possibile che il lasso di tempo che intercorre sia tale che la vittima potrebbe non sapere mai di aver subito un attacco in quel determinato momento da quella determinata telefonata (o serie di telefonate).
Microsoft ha avvertito i propri utenti in seguito a diverse segnalazioni relative ad una campagna di truffa telefonica che ha colpito gli utenti di Office 365, da parte di finti servizi di supporto tecnico. In questo modo, giovandosi della riconoscibilità dell’azienda di cui si fingono dipendenti per ottenere la fiducia dell’interlocutore, è possibile far leva sulla paura rappresentando dei malfunzionamenti o dei bug relativi a dispositivi e software in uso presso l’utente dei servizi Microsoft. In questo modo, la vittima è convinta ad accettare interventi e servizi di supporto tecnico per sistemare dei problemi che in realtà non esistono.
Durante l’intervento, però, spesso viene chiesto all’interlocutore di installare dei programmi per l’accesso remoto al dispositivo e in questo modo è possibile generare finti messaggi di errore, pop-up o altri malfunzionamenti atti a far contattare il supporto tecnico da parte dell’utente. Ovviamente, presso un numero di contatto che gli stessi attaccanti hanno sapientemente provveduto ad inserire nel sistema, insieme a programmi come spyware, malware o ransomware.
Nella migliore delle ipotesi, i cybercriminali si limitano a chiedere un pagamento per un intervento fasullo, anche attraverso criptovalute o carte regalo. Questo però è un fatto raro, dato che avviene più spesso lo scenario peggiore ovverosia la sottrazione di informazioni personali e dati di pagamento, e il danneggiamento del dispositivo e delle informazioni (ad esempio, per l’azione di un ransomware).
Microsoft ha offerto un servizio di segnalazione a tale riguardo, e alcune indicazioni di massima per prevenire questo tipo di problemi. Innanzitutto, ricorda che la richiesta di supporto tecnico avviene solo in seguito alla segnalazione dell’utente, e dunque per logica ciò può portare ad escludere l’attendibilità di ogni chiamata di questo tipo. Inoltre, suggerisce l’adozione delle usuali accortezze anti-phishing, ovviamente declinandole al contesto della frode in oggetto, diffidando ad esempio dei messaggi di pop-up di errore che contengono un numero telefonico o un link e l’impiego dei soli recapiti ufficiali per le comunicazioni.
