Cos’è Vishing? Suggerimenti per individuare ed evitare le truffe vocali
Il furto di identità colpisce più di 14 milioni di americani ogni anno e costa ai consumatori oltre 1,7 miliardi di dollari. Esistono diversi metodi per ottenere informazioni personali e uno di questi metodi è "Vishing".
Vishing è una truffa telefonica in cui un truffatore tenta di estorcere informazioni personali o denaro alla vittima. La parola "vishing" è una combinazione di "voce" e " phishing ", il che implica che un truffatore sta tentando di indurre la vittima a rivelare le sue informazioni sensibili come nomi utente, password o dettagli di carte di credito o a scaricare malware sui suoi dispositivi.
La prima fase di questo attacco si concentra sulla verifica se il numero di telefono è ancora attivo o meno. Per quanto riguarda la seconda fase, l'attacco diventa più personalizzato a seconda della vittima.
Un tipico tentativo di vishing segue uno schema:
Passaggio 1 – Destinazione: i truffatori effettuano chiamate a più persone contemporaneamente. Se qualcuno risponde, entra in gioco una persona reale.
Passaggio 2 – Informazioni: una volta che il truffatore si è connesso con una persona reale online, finge di essere una figura autoritaria, come un esattore di fatture, un agente assicurativo, l'IRS, l'amministrazione della previdenza sociale, un tecnico di riparazione di computer, tra gli altri. Sollevano immediatamente un problema, come una fattura non pagata, per convincere il loro obiettivo a fornire informazioni personali. Nello screenshot qui sotto, puoi vederne un chiaro esempio, ma il metodo utilizzato qui è chiamato "smishing".
Credito immagine: punto di prova
Passaggio 3 – Danno finanziario: se il truffatore ottiene con successo le informazioni bancarie, può procedere al trasferimento dei fondi dal conto. Se mettono le mani sui dati della carta di credito, effettueranno il maggior numero possibile di acquisti prima che la carta venga bloccata.
Dopo una truffa riuscita, il truffatore di solito scompare, per non essere mai più sentito. Pertanto, le possibilità di catturare il colpevole e perseguirlo sono dubbie.
La ragione del crescente successo delle truffe Vishing è la capacità dell'essere umano di commettere errori. Dopotutto, è solo la capacità di persuasione che è il motivo per cui l'ingegneria sociale è al centro degli sforzi dei truffatori. L'ingegneria sociale consiste nell'imitare un'autorità fidata – la tua banca, il fornitore di tecnologia, il governo, un lavoratore dell'helpdesk IT – e nel creare un ambiente di urgenza o ansia che revochi qualsiasi naturale sentimento di cautela o sospetto.
Queste tecniche vengono applicate nelle e-mail di phishing e nei messaggi di testo falsi (noti come smishing). Tuttavia, i Visher hanno vari strumenti e tattiche per rendere le loro truffe più efficaci, tra cui:
- Strumenti di spoofing dell'ID chiamante: possono essere utilizzati per nascondere la posizione reale del truffatore e persino impersonare i numeri di telefono di organizzazioni affidabili.
- Truffe multicanale: messaggi di testo smishing, e-mail di phishing o messaggi vocali per incoraggiare gli utenti a chiamare un numero.
- Raschiamento dei social media e ricerca open source: fornisce al truffatore uno stock di informazioni sulle loro vittime.
Crediti immagine: WeLiveSecurity (Twitter)
Le seguenti statistiche rivelano perché le truffe di Vishing sono considerate attività redditizie dagli aggressori.
Nel 2018, le chiamate truffa costituivano quasi il 30% di tutte le chiamate cellulari in arrivo.
Il rapporto sullo stato di phishing di Proofpoint pubblicato nel 2020 ha rivelato che il 25% dei lavoratori totali che hanno partecipato al sondaggio potrebbe definire correttamente questo termine. Pertanto, non dovrebbe sorprendere sapere che questo termine viene ampiamente riconosciuto.
Il 75% delle vittime di truffe ha confermato che i truffatori avevano già alcune informazioni personali su di loro. Utilizzano tali informazioni per indirizzare ed estorcere loro più informazioni.
Sul totale delle truffe Vishing che coinvolgono impostori governativi segnalate, solo il 6% aveva perso denaro.
Tattiche utilizzate dai truffatori per attirare l'attenzione delle vittime
Di seguito sono riportate alcune delle tattiche utilizzate dai truffatori per attirare l'attenzione della loro vittima.
Il numero di previdenza sociale è stato compromesso.
Il conto bancario è stato segnalato in rosso o violato.
Idoneo per il test COVID-19 gratuito o un vaccino.
Ente di beneficenza che richiede una donazione per i soccorsi in caso di calamità o il supporto COVID-19.
L'addebito sulla carta di credito deve essere verificato.
L'IRS ha scoperto discrepanze nella tua dichiarazione dei redditi.
Il tuo veicolo è qualificato per una garanzia estesa.
Il computer è stato compromesso e richiede servizi di supporto tecnico
C'è un mandato emesso per il tuo arresto.
Un amico o un familiare ha bisogno di soldi per uscire dai guai o è stato coinvolto in un incidente.
Hai vinto una vacanza gratuita, una lotteria o un omaggio.
In che modo il voice vishing può influenzare la tua famiglia?
L'obiettivo finale dei truffatori vishing è guadagnare soldi da te. Possono accedere ai tuoi account rubando i dettagli del tuo conto bancario o inducendoti a cedere le tue informazioni personali.
Ecco alcune tipiche truffe:
Truffe del supporto tecnico: in questi tipi di truffe, le vittime vengono contattate da qualcuno che si spaccia per ISP o qualsiasi fornitore di hardware/software. Fingeranno di aver trovato un problema inesistente con il tuo PC e quindi estorceranno il pagamento (e i dettagli della tua carta) per risolverlo, a volte scaricando malware nel processo.
Wardialing: i messaggi di posta vocale automatizzati vengono inviati a diverse vittime per spaventarle e costringerle a richiamare.
Telemarketing: indurre le vittime a chiamare affermando di aver vinto alla lotteria, alle vacanze o ad altri favolosi premi.
Phishing/smishing: email contraffatte o SMS falsi, che richiedono all'utente di chiamare un numero. Chiamando il numero, la vittima sarà collegata a un truffatore vishing.
Come proteggersi dagli attacchi vishing?
Per ridurre la possibilità di essere colpiti da truffe vishing, puoi seguire alcuni suggerimenti di base indicati di seguito:
- Assicurati che il tuo numero di telefono sia ex-directory. Significa che il tuo numero di telefono non apparirà nell'elenco telefonico e la compagnia telefonica non lo darà alle persone che lo richiedono.
- Durante la compilazione di qualsiasi modulo online, assicurati di non inserire il tuo numero di telefono.
- Prestare attenzione a qualsiasi richiesta per telefono di informazioni bancarie, personali o di altro tipo. Non distribuire quei dettagli a meno che tu non sia sicuro dell'autenticità della persona dall'altra parte.
- Non coinvolgere o intrattenere chiamanti non richiesti, soprattutto se chiedono di confermare dettagli sensibili.
- Meglio non richiamare un numero lasciato tramite segreteria telefonica e rivolgersi direttamente all'organizzazione.
- Utilizza l'autenticazione a più fattori (MFA) su tutti gli account online.
- Assicurati che la tua sicurezza e-mail/web sia aggiornata e inizia a utilizzare strumenti di sicurezza come VPN crittografate che includono funzionalità anti-phishing.