Come funziona il Vishing
Una tattica comune è l'uso dell'autorità. Ad esempio, l'aggressore può fingere di essere dell'Agenzia delle Entrate, fingendo di chiamare per riscuotere tasse non pagate. La paura dell'arresto può indurre le vittime a fare ciò che l'aggressore dice loro di fare. Questi tipi di attacchi coinvolgono comunemente anche il pagamento tramite carta regalo, e sono costati alle vittime 124 milioni di dollari nel 2020, solo negli Stati Uniti.
Qual è la differenza tra Vishing e phishing?
Sebbene il vishing e il phishing siano entrambi tipi di attacchi di ingegneria sociale e utilizzino molte delle stesse tattiche, la differenza principale è il mezzo utilizzato per eseguire gli attacchi.
Come già detto, il vishing utilizza il telefono per eseguire un attacco. L'aggressore chiamerà la vittima - o la indurrà a chiamarlo - e tenterà verbalmente di indurla a fare qualcosa. I phisher, invece, utilizzano forme di comunicazione elettroniche e testuali per eseguire i loro attacchi. Mentre l'e-mail è il mezzo di phishing più comune e conosciuto, gli aggressori possono anche utilizzare i messaggi di testo (chiamati smishing), le app di comunicazione aziendale (Slack, Microsoft Teams, ecc.), le app di messaggistica (Telegram, Signal, WhatsApp, ecc.) o i social media (Facebook, Instagram, ecc.) per eseguire i loro attacchi.
Tipi di Vishing scam
Gli attacchi di vishing possono essere tanto vari quanto gli attacchi di phishing. Alcuni dei pretesti più comuni utilizzati nel vishing includono:
- Problema con il conto: Un visher può fingere di provenire da una banca o da un altro fornitore di servizi, sostenendo che esiste un problema con il conto di un cliente. Chiederanno poi informazioni personali per "verificare l'identità del cliente".
- Rappresentante governativo: Un attacco di vishing può includere un aggressore che si maschera da rappresentante di un'agenzia governativa, come l'Internal Revenue Service (IRS) o la Social Security Administration (SSA). Questi attacchi sono in genere progettati per rubare informazioni personali o per indurre la vittima a inviare denaro all'aggressore.
- Assistenza tecnica: Gli ingegneri sociali possono fingere di essere l'assistenza tecnica di aziende grandi e famose come Microsoft o Google. Questi aggressori fingono di aiutare a risolvere un problema sul computer o sul browser della vittima, ma in realtà installano un malware.
Come prevenire gli attacchi di vishing
Come per altri attacchi di ingegneria sociale, la consapevolezza degli utenti è essenziale per la prevenzione e la protezione. Alcuni punti importanti da includere nella formazione sulla consapevolezza della cybersicurezza sono:
- Non fornisca mai dati personali: Gli attacchi di vishing sono comunemente progettati per indurre il bersaglio a consegnare informazioni personali che possono essere utilizzate per frodi o altri attacchi. Non fornisca mai una password, un numero di autenticazione a più fattori (MFA), dati finanziari o informazioni simili al telefono.
- Verifichi sempre i numeri di telefono: I vishers chiamano fingendo di provenire da un'organizzazione legittima. Prima di fornire qualsiasi dato personale o di fare qualsiasi cosa venga detta dall'aggressore, si informi sul nome del chiamante e lo richiami utilizzando il numero ufficiale dal sito web dell'azienda. Se il chiamante cerca di dissuaderla dal farlo, probabilmente si tratta di scam.
- Nessuno vuole le carte regalo: I vishers chiedono comunemente il pagamento delle tasse non pagate o di altre spese in carte regalo o carte Visa prepagate. Nessuna organizzazione legittima richiederà una carta regalo o un credito prepagato come pagamento.
- Non fornisca mai l'accesso remoto al computer: I vishers possono richiedere l'accesso remoto al suo computer per "rimuovere il malware" o risolvere qualche altro problema. Non consenta mai l'accesso al suo computer a persone diverse dai membri verificati del reparto IT.
- Riferisca gli incidenti sospetti: I vishers tentano spesso di utilizzare lo stesso scam su più bersagli diversi. Riferisca qualsiasi sospetto attacco di vishing all'IT o alle autorità, in modo che possano intervenire per proteggere gli altri da questo fenomeno.
Come per gli attacchi di phishing, la prevenzione del vishing basata sulla formazione è imperfetta. C'è sempre la possibilità che un attacco sfugga. Tuttavia, a differenza del phishing, il vishing è difficile da prevenire con la tecnologia. Dato che il vishing avviene per telefono, per rilevare potenziali attacchi sarebbe necessario origliare tutte le telefonate e osservare i segnali di allarme.
Per questo motivo, le organizzazioni dovrebbero affrontare gli attacchi di vishing implementando la difesa in profondità e concentrandosi sugli obiettivi dell'attaccante. In un contesto aziendale, un attacco di vishing può essere progettato per infettare il sistema di un dipendente con un malware o fornire all'aggressore l'accesso a dati aziendali sensibili. L'impatto di un attacco di vishing può essere mitigato mettendo in atto soluzioni che impediscano all'attaccante di raggiungere questi obiettivi, anche se il vettore di attacco iniziale (ossia la telefonata di vishing) non è rilevabile.
Check Point offre una serie di soluzioni che possono aiutare le organizzazioni a mitigare gli attacchi di vishing, phishing e altri attacchi correlati. Harmony Email and Office di Check Point include Anti-Phishing e può aiutare a rilevare i tentativi di esfiltrazione dei dati ispirati da un attacco di vishing. Per saperne di più su come Check Point può proteggere la sua organizzazione dalle minacce di social engineering, può richiedere una demo gratuita oggi stesso.
Feedback