Vishing (Voice Phishing)

Vishing, o phishing vocale, è un atto di frode che utilizza tattiche basate sulla voce come esca per cercare di rubare informazioni personali.

Il vishing è simile al phishing e al smishing in quanto è una forma di inganno che i criminali informatici utilizzano per rubare i dati delle carte di credito o altre informazioni sensibili. Mentre lo smishing (noto anche come SMS phishing) utilizza messaggi di testo e il phishing utilizza principalmente email o siti web falsi per ingannare le vittime, i truffatori del vishing si travestono da organizzazioni affidabili o persone rispettabili nelle comunicazioni vocali.

Con il vishing, i criminali informatici utilizzano script urgenti o allarmanti per indurre le potenziali vittime a divulgare le proprie informazioni personali. Gli attaccanti spesso utilizzano tattiche ingannevoli come lo spoofing delle informazioni di identificazione del chiamante per far sembrare che le interazioni provengano da organizzazioni o aziende legittime.

Il vishing è popolare tra i criminali informatici perché consente loro di rubare informazioni finanziarie e personali sensibili senza dover superare le difese di sicurezza di un computer o di una rete.

• Vishing, o phishing vocale, è una forma di truffa in cui gli attaccanti utilizzano chiamate telefoniche per impersonare organizzazioni affidabili e ingannare le vittime inducendole a rivelare informazioni sensibili.
• Gli scenari comuni di vishing includono l'impersonificazione bancaria, le truffe dell'assistenza tecnica e la clonazione vocale, spesso sfruttando l'urgenza e le tattiche di paura per manipolare le vittime.
• Prevenire gli attacchi di vishing richiede un training per la sensibilizzazione sulla sicurezza completo, protocolli di comunicazione chiari e l'implementazione di tecnologie avanzate di verifica dell'ID chiamante e autenticazione vocale.

Il phishing, il vishing e lo smishing sono tutti attacchi di ingegneria sociale progettati per ingannare le persone inducendole a rivelare informazioni sensibili o a compiere azioni dannose. Le principali differenze risiedono nel mezzo di attacco:

• Phishing: Una delle minacce e-mail più comuni, il phishing è un attacco informatico in cui gli attaccanti si spacciano per entità legittime per indurre le persone a divulgare informazioni sensibili come credenziali di accesso, dettagli finanziari o dati personali. Tipicamente utilizzano e-mail o siti web fraudolenti per ingannare le loro vittime.
• Vishing: Il vishing è una forma di ingegneria sociale che utilizza la comunicazione vocale (di solito chiamate telefoniche) per indurre le persone a rivelare informazioni riservate o a compiere azioni che compromettono la sicurezza. Gli attaccanti spesso si spacciano per rappresentanti di enti come banche o agenzie governative.
• Smishing: Questa minaccia informatica combina tecniche di SMS (messaggistica di testo) e phishing. Gli attaccanti inviano messaggi di testo che pretendono di provenire da fonti affidabili, spesso includendo link a siti web dannosi o invitando i destinatari a chiamare numeri di telefono fraudolenti.

Il phishing vocale può ingannare anche i dipendenti più attenti alla sicurezza del tuo team. I dirigenti di livello C devono essere vigili sulle loro misure di sicurezza in prima linea per rimanere un passo avanti rispetto a questi attacchi. Ecco alcuni scenari comuni di vishing da cui guardarsi:

Impersonificazione della banca

Un hacker, fingendosi un alto funzionario finanziario, chiama il direttore finanziario (CFO) di una banca fuori orario, affermando che è necessaria un'azione urgente riguardo a un sospetto riciclaggio di denaro in transazioni internazionali. Il chiamante richiede la verifica immediata di grandi transazioni e numeri di conto, sottolineando la riservatezza e le potenziali ripercussioni reputazionali nel non agire. Creano credibilità citando conoscenze del settore e mettono sotto pressione il CFO con minacce di blocchi operativi per non conformità. L'obiettivo è sfruttare l'autorità e l'urgenza del CFO per ottenere informazioni finanziarie sensibili o avviare trasferimenti non autorizzati.

truffa del supporto tecnico

L'attaccante, fingendosi il capo della sicurezza informatica di una grande azienda di cybersecurity con cui la società collabora, chiama la linea diretta del CEO. Afferma di aver rilevato un sofisticato e continuo attacco informatico che prende di mira gli account esecutivi dell'azienda. Il chiamante sostiene che è necessaria un'azione immediata per prevenire il furto di dati e richiede l'accesso remoto al computer del CEO per "installare patch di sicurezza critiche". Creano urgenza menzionando potenziali violazioni dei dati presso aziende concorrenti e il rischio di multe regolamentari.

Il truffatore mira a ottenere l'accesso remoto al dispositivo dell'esecutivo, potenzialmente installando malware o rubando dati aziendali sensibili. Questo scenario sfrutta l'autorità dell'esecutivo e la loro limitata conoscenza tecnica per bypassare i protocolli IT standard in situazioni di emergenza percepite.

truffa di clonazione vocale

In una truffa di vishing con clonazione vocale che prende di mira i dirigenti di alto livello, un hacker utilizza l'IA per clonare la voce del CEO e chiama il telefono del CFO, affermando che c'è un'opportunità di acquisizione urgente e confidenziale che richiede un'azione immediata. Il falso CEO insiste sulla discrezione a causa di preoccupazioni relative all'insider trading e pressa il CFO affinché avvii un grande bonifico bancario per assicurare l'affare. L'hacker fornisce dettagli plausibili e fa riferimento a eventi recenti dell'azienda per apparire credibile.

Questo metodo di attacco sfrutta la fiducia nella voce del CEO, l'urgenza di un'opportunità lucrativa e l'autorità del CFO per bypassare i normali controlli finanziari, rendendolo altamente convincente e difficile da rilevare.

Truffa di consegna

Un criminale informatico chiama il direttore operativo (COO) di un'azienda, affermando di essere di un servizio di corriere premium che gestisce un pacco urgente e riservato per il CEO. Il chiamante dice che la dogana sta trattenendo il pacco, che contiene documenti sensibili relativi a una fusione imminente, a causa di documenti incompleti. Affermano che è necessaria un'azione immediata per evitare ritardi che potrebbero mettere a rischio l'affare.

Il truffatore richiede le informazioni della carta di credito del direttore operativo per pagare una piccola "tassa di elaborazione" per accelerare il rilascio. Sottolineano la discrezione, avvertendo che coinvolgere altri membri del personale potrebbe violare gli accordi di riservatezza. L'obiettivo è sfruttare l'autorità dell'esecutivo e la paura di interrompere operazioni aziendali importanti per rubare informazioni finanziarie o autorizzare addebiti fraudolenti.

truffa sulla sicurezza sociale o Medicare

Un truffatore vishing si fa passare per un alto funzionario dell'Amministrazione della Sicurezza Sociale o di Medicare. Afferma che le informazioni personali della vittima sono state compromesse in una recente violazione dei dati, mettendo a rischio la sospensione dei benefici. Il chiamante richiede con urgenza la verifica del numero di previdenza sociale o dell'ID Medicare della vittima per "proteggere" il loro account, citando violazioni recentemente pubblicizzate per credibilità. Dicono che i benefici della vittima potrebbero essere sospesi o minacciano potenziali problemi legali senza un'azione immediata.

Questa truffa sfrutta la preoccupazione dell'esecutivo riguardo alle proprie finanze personali e alla reputazione professionale, con l'obiettivo di ottenere informazioni sensibili da utilizzare in schemi di furto d'identità o frodi finanziarie.

Impersonificazione dell'IRS

In una truffa vishing di impersonificazione dell'IRS, un hacker si spaccia per un agente dell'IRS. Afferma che la sua vittima ha delle tasse arretrate che devono essere pagate immediatamente per evitare gravi conseguenze come l'arresto o la deportazione. Il truffatore crea urgenza e paura e fornisce un numero di distintivo falso per apparire credibile. Inoltre, falsifica un numero di telefono dell'IRS e menziona dettagli specifici relativi alle tasse.

Il chiamante richiede il pagamento immediato tramite metodi non convenzionali come carte regalo o bonifici e cerca informazioni personali sensibili. Questa truffa sfrutta la paura delle persone nei confronti dell'IRS e delle questioni fiscali. Ma nota che l'IRS reale solitamente avvia il contatto tramite posta, non telefonate, e non richiede mai il pagamento immediato né minaccia azioni legali immediate.

In superficie, gli attacchi vishing possono sembrare più fastidiosi che altro. Ma sono piuttosto seri, rappresentando un rischio significativo per l'infrastruttura digitale di un'organizzazione. Ecco un esempio dei danni che un attacco vishing può causare:

• Perdita finanziaria: Gli attacchi di vishing possono portare a perdite finanziarie significative, poiché gli aggressori spesso ingannano i dipendenti inducendoli a trasferire fondi o fornire informazioni finanziarie sensibili.
• Perdita di dati: Gli attaccanti possono ottenere accesso a dati aziendali sensibili, incluse credenziali di accesso, informazioni proprietarie e dettagli dei clienti. Possono quindi sfruttare queste informazioni o venderle sul dark web.
• Danno reputazionale: Gli attacchi di vishing possono danneggiare la reputazione di un'azienda, erodendo la fiducia dei clienti e costando all'organizzazione potenziali opportunità di business.
• Interruzione operativa: Gli attacchi di vishing riusciti possono interrompere le operazioni aziendali compromettendo i sistemi critici. C'è anche una perdita di produttività poiché i dipendenti dedicano tempo a gestire le conseguenze dell'attacco piuttosto che ai loro compiti abituali.
• Conseguenze legali e normative: Le aziende possono affrontare ripercussioni legali e normative se gli attacchi di vishing portano a violazioni dei dati o alla non conformità con le leggi sulla protezione dei dati. Ciò potrebbe significare multe e maggiore controllo da parte degli enti regolatori.

In qualità di leader dell'azienda, promuovere programmi educativi per i tuoi manager e dipendenti è uno dei migliori investimenti che puoi fare nei tuoi sforzi di sicurezza informatica. Anche con un arsenale degli strumenti di sicurezza più recenti e avanzati, il rilevamento precoce è la migliore protezione contro il vishing. Ecco alcuni segnali da tenere d'occhio:

Urgenza e/o tattiche della paura

L'urgenza e le tattiche di paura sono segni distintivi degli attacchi di vishing. Gli hacker spesso creano scenari che inducono paura, come minacce di azioni legali o sospensione dell'account, per manipolare le vittime a reagire rapidamente.

L'antidoto a queste tattiche è mantenere la calma e non fornire informazioni personali. Invece, riattaccare la chiamata e verificare in modo indipendente le affermazioni del chiamante contattando direttamente l'organizzazione utilizzando le informazioni di contatto ufficiali.

Richieste di informazioni personali

I criminali informatici spesso si spacciano per rappresentanti di banche, agenzie governative o società di supporto tecnico, chiedendo dati sensibili come numeri di previdenza sociale, dettagli del conto bancario, informazioni sulla carta di credito, password o PIN. Possono presentare scenari urgenti che richiedono la divulgazione immediata di queste informazioni, come la verifica del conto o la prevenzione delle frodi. Tuttavia, le organizzazioni legittime raramente richiedono tali dettagli sensibili per telefono, soprattutto durante chiamate non richieste.

La migliore linea d'azione è non fornire alcuna informazione. Invece, termina la chiamata e contatta direttamente l'organizzazione attraverso i suoi canali ufficiali.

Richiesta di pagamento

Gli hacker spesso presentano scenari urgenti sostenendo che la vittima deve dei soldi e deve pagare immediatamente per evitare gravi conseguenze, come azioni legali, arresto o disconnessione del servizio. Insistono tipicamente su un pagamento immediato tramite metodi non convenzionali come carte regalo o bonifici bancari, che sono difficili da tracciare.

La migliore contromisura è mantenere la calma ed evitare di prendere decisioni affrettate. Ricorda che le organizzazioni legittime di solito non richiedono pagamenti immediati al telefono né usano minacce per estorcere pagamenti.

Chiamate non richieste

Le chiamate truffaldine di vishing sono spesso non richieste - e spesso provengono da individui che affermano di rappresentare organizzazioni rispettabili. Le entità legittime tipicamente non avviano contatti tramite chiamate non richieste né richiedono informazioni personali senza preavviso.

La risposta migliore è essere cauti e astenersi dal condividere informazioni personali o finanziarie. Come in altre situazioni segnate da bandiere rosse, è solitamente meglio riagganciare e verificare in modo indipendente le affermazioni del chiamante contattando direttamente l'organizzazione utilizzando le informazioni di contatto ufficiali dal loro sito web o da altre fonti affidabili.

Prompt per scaricare il software

Le richieste di download di software possono indicare un possibile attacco di vishing. I truffatori potrebbero impersonare entità fidate, come il supporto tecnico o le aziende di sicurezza, e affermare che il computer della vittima è compromesso o a rischio.

Potrebbero sostenere che sia necessaria un'azione immediata per prevenire la perdita di dati o violazioni della sicurezza e istruire la vittima a scaricare e installare un software specifico per risolvere il problema. Tuttavia, questo software è spesso dannoso, progettato per rubare informazioni personali, installare malware o fornire accesso remoto agli attaccanti.

I dipendenti dovrebbero riagganciare e verificare in modo indipendente la situazione contattando direttamente l'organizzazione in questione utilizzando le informazioni di contatto ufficiali da una fonte affidabile. Inoltre, contattare il proprio dipartimento IT interno o un servizio di supporto tecnico fidato.

Imparare a riconoscere i segnali di avvertimento e rilevare gli attacchi di vishing in anticipo è un'ottima prima linea di difesa. Ma non è infallibile. Se un attacco di vishing riesce a passare inosservato, segui questi passaggi:

1. Segnala immediatamente l'incidente: Notifica al team di sicurezza IT della tua azienda o al punto di contatto designato, fornendo il maggior numero di dettagli possibile. Se sono coinvolti dispositivi personali, informa la tua banca personale e le società delle carte di credito.
2. Modifica le credenziali compromesse: Cambia immediatamente le password per tutti gli account che potrebbero essere stati compromessi. Utilizza password forti e uniche per ciascun account. Se hai utilizzato la stessa password altrove, cambia anche quella.
3. Documenta l'incidente: Annota tutto ciò che ricordi della chiamata finché è fresco nella tua mente. Includi il numero di telefono, eventuali nomi utilizzati e i dettagli della conversazione. Conserva eventuali e-mail, messaggi di testo o messaggi vocali correlati.
   • Collabora con l'indagine: Prepara un resoconto dettagliato da fornire al tuo team di sicurezza informatica o alle forze dell'ordine. Rispondi alle domande onestamente, anche se ti senti in imbarazzo per essere caduto nella truffa.
4. Monitora i tuoi account: Tieni sotto controllo i tuoi account finanziari per qualsiasi attività sospetta.
5. Partecipare a ulteriori corsi di formazione sulla sicurezza: Partecipare a eventuali corsi di aggiornamento offerti sulle migliori pratiche di sicurezza informatica. Inoltre, considerare di condividere la propria esperienza (in modo anonimo, se preferito) per aiutare a educare i colleghi.
6. Aiutare a rafforzare le difese aziendali: Fornire feedback sui protocolli di sicurezza attuali e suggerire miglioramenti. Ciò potrebbe includere l'incoraggiamento all'implementazione di misure di sicurezza come i sistemi di autenticazione vocale.

Oltre ai tuoi strumenti di sicurezza informatica e al rilevamento precoce, le seguenti tattiche possono completare lo stack di protezione della tua organizzazione:

• Implementare un training completo per la sensibilizzazione sulla sicurezza: Queste sessioni dovrebbero includere esempi reali e simulazioni per aiutare i dipendenti a riconoscere e rispondere efficacemente ai tentativi di vishing.
• Stabilisci protocolli di comunicazione chiari: Crea e applica rigorosamente politiche che delineano come gestire e verificare le informazioni sensibili all'interno dell'organizzazione.
• Implementare misure di sicurezza tecniche: Implementare sistemi avanzati di verifica dell'ID del chiamante e considerare l'uso della tecnologia di autenticazione vocale per transazioni sensibili o accesso a sistemi critici.
• Testare e valutare regolarmente le vulnerabilità: Conduci simulazioni periodiche di vishing per testare la prontezza dei dipendenti. Inoltre, esegui regolari audit di sicurezza dei sistemi telefonici e dell'infrastruttura correlata per garantire che siano aggiornati e sicuri.
• Crea una cultura attenta alla sicurezza: Incoraggia i dipendenti a tutti i livelli a mettere in discussione richieste insolite e a verificare le identità, anche se potrebbe sembrare scortese o non necessario.