Vishing: cos’è e come proteggersi

Cos’è il vishing?

Al giorno d’oggi le truffe si nascondono ovunque: nelle email, nei messaggi di testo, nei social media e persino nelle chiamate vocali. Il vishing, o voice phishing, è un tipo di truffa che sta prendendo rapidamente piede negli ultimi periodi. Si tratta di un tentativo di frode, simile al phishing, in cui il truffatore, una persona o un’azienda apparentemente rispettabile, contatta per telefono o tramite messaggio vocale la vittima per indurla a rivelare informazioni confidenziali potenzialmente utilizzabili per accedere a denaro o a dati sensibili.

Come funziona il vishing?

Esiste un motivo ben preciso per cui sempre più truffatori ricorrono al vishing. Questo tipo di truffa telefonica sfrutta la cosiddetta ingegneria sociale, ossia una serie di tecniche che fanno leva su sentimenti innati nelle persone, quali la fiducia, la paura, l’avidità o l’altruismo. Il criminale informatico cerca di evocare questi sentimenti, suscitando panico o altre emozioni che potrebbero offuscare la capacità di giudizio della vittima, e ne approfitta per sottrarle liquidità o dati personali.
Generare un senso di urgenza è un’altra tattica usata dai truffatori. In qualità di fonti attendibili, i visher spesso enfatizzano la gravità e l’impellenza del presunto problema per convincere le vittime ad agire rapidamente. Così facendo, le vittime saranno meno inclini a riflettere sulla situazione con calma e in modo razionale, a fare domande o a verificare la veridicità delle affermazioni del truffatore, cadendo più facilmente nella trappola.

Spesso i criminali informatici si spacciano per persone di cui la gente tende a fidarsi, come il dipendente di una banca, un funzionario dell’Agenzia delle Entrate o un agente assicurativo. I truffatori sperano che le persone ripongano abbastanza fiducia in quegli individui da affidare loro i soldi o i dati che consentono di accedere alle proprie finanze. Sono inoltre molto abili ad adattare il contenuto delle telefonate in base alla persona che risponde al telefono, fornendo informazioni differenti rispetto all’area in cui la persona abita, al periodo dell’anno, l’età o ad altre circostanze personali.

Alcune tecniche di approccio particolarmente diffuse sono:

  • Frodi conto corrente o carta di credito: le truffe bancarie sono tra gli esempi più comuni di vishing. Il truffatore dice di chiamare dall’istituto che ha emesso la carta di credito o in cui è sottoscritto il conto corrente e avvisa l’intestatario che è stato compromesso. Chiede le credenziali del malcapitato per “risolvere” il problema. Una volta ottenute queste informazioni, la chiamata viene conclusa sbrigativamente e la vittima si ritrova con il plafond della carta o del conto esaurito;
  • Un’offerta imperdibile: alcuni criminali tendono a telefonare e offrire un prestito, un premio o una ghiotta occasione di investimento. In genere queste offerte sembrano estremamente vantaggiose, quindi la tentazione di accettarle è forte. Ma non bisogna lasciarsi ingannare: se un concorso a premi a cui non hai mai partecipato chiede dei dati personali, quasi sicuramente si tratta di una proposta fittizia. Se un’offerta sembra troppo buona per essere vera, ricorda che non è tutto oro quel che luccica;
  • Truffe fiscali: certi truffatori si fingono funzionari dell’Agenzia delle Entrate o addetti al recupero crediti e spaventano le vittime parlando di imposte non pagate, minacciando pesanti sanzioni. Chiamate di questo genere sono particolarmente sgradevoli ma l’importante è non lasciarsi intimorire. Anche se si hanno dei debiti insoluti è importante verificare sempre che le richieste di pagamento provengano da un ente autorizzato alla riscossione.
  • Truffe mediche o a sfondo previdenziale: i criminali informatici fingono di chiamare a nome di un ente o funzionario previdenziale, assistenziale o governativo. L’impostore nella speranza di mettere le mani su sussidi o pensioni, o di appropriarsi di denaro contante, chiede informazioni personali che non andrebbero mai divulgate con superficialità. Di solito le truffe di vishing di questo tipo prendono di mira gli anziani, tendenzialmente più fiduciosi al telefono e meno informati su tecnologie e truffe.

Come difenderti dal vishing e come prevenirlo

Prevenire il vishing non risulta in realtà particolarmente complicato. Per individuare un attacco bisogna restare in guardia per cogliere determinati segnali d’allarme. Se si ha la sensazione che chi chiama stia cercando di mettere fretta, manipolare o scatenare il panico, ci sono buone possibilità che si tratti di una truffa telefonica. Ad ogni modo, per evitare di diventare vittima di un attacco di vishing si possono seguire alcune regole di base:

  • Non condividere né confermare mai i dati personali al telefono, nemmeno se chi chiama dichiara di farlo a nome della banca, della posta o dell’assicurazione. E non dimenticare di segnalare l’episodio alla banca o fornitore;
  • Non fornire a nessuno i codici temporanei (OTP) utilizzati per confermare le operazioni;
  • Non rispondere a chiamate che provengono da numeri sconosciuti. Lascia scattare la segreteria telefonica, ascolta il messaggio e valuta la situazione con calma, oppure, se pensi che la chiamata potrebbe anche avere scopi leciti, richiama quel numero da un altro telefono. Se si trattava di una truffa, probabilmente non risponderà nessuno;
  • Non rispondere a email, SMS o messaggi sui social media che chiedono il tuo numero di telefono. Spesso è così che i criminali informatici approcciano persone ignare che prenderanno di mira con un attacco di vishing in un secondo momento.
  • Leggi sempre attentamente il contenuto di notifiche ed SMS che servono per autorizzare un’operazione e verifica la veridicità della telefonata ricercando il numero telefonico online il numero e il nominativo a cui è intestata la chiamata;
  • Non inserire mai i tuoi codici personali o i tuoi dati dopo aver cliccato su link di SMS ed email sospetti o non attesi;
  • Verifica se nel tuo paese esiste un registro delle opposizioni. Inserendo il tuo numero di telefono in questo registro comunicherai alle aziende che agiscono nella legalità che non vuoi ricevere le cosiddette ‘telefonate a freddo’, ossia telefonate indesiderate con scopi commerciali. In questo modo, se dovessi ricevere questo tipo di chiamate, si tratterebbe con tutta probabilità di un tentativo di vishing.

Per imprenditori e professionisti è importante salvaguardare la propria professione e i propri dati dalle varie tipologie di attacchi cyber. L’adozione della polizza Cyber Risk consente all’assicurato di tutelarsi dagli attacchi informatici e dalle conseguenti spese e perdite di dati e informazioni confidenziali. Inoltre, questa copertura fornisce l’intervento di un esperto per il recupero dei dati persi e per la decontaminazione da eventuali malware. Tutti questi sono servizi inclusi nella versione Smart, che prevede un massimale fino a €25mila. Ai propri clienti Lokky offre anche la possibilità di stipulare una versione Top della polizza, che prevede un aumento del massimale fino a €250mila e l’inserimento di numerose garanzie aggiuntive, tra cui una Diaria giornaliera per interruzione dell’attività e la copertura delle spese per il ripristino dell’immagine aziendale.

Scopri l’Assicurazione Cyber Risk di Lokky