Che cos’è il vishing?

Il vishing, noto anche come phishing vocale, avviene quando i truffatori ti telefonano per indurti a condividere le tue informazioni personali o a inviare denaro. Spacciandosi per aziende legittime e utilizzando tattiche di social engineering, i truffatori cercano di conquistare la tua fiducia e convincerti a condividere informazioni sensibili, che possono essere utilizzate per commettere una frode o un furto di identità. Secondo il rapporto sul phishing vocale di Keepnet del 2024, circa il 70% delle organizzazioni è stata vittima di un attacco di vishing, con una perdita finanziaria media di 14 milioni di dollari all’anno. Il vishing può colpire sia le persone che le organizzazioni, quindi è importante capire come funziona e come proteggersi.

Continua a leggere per sapere come il vishing si distingue dal phishing e dallo smishing, scopri gli esempi più comuni di vishing e come evitare di cadere vittima di questi attacchi.

Vishing, phishing e smishing: qual è la differenza?

Pensa al phishing come a un termine generico per gli attacchi informatici che i truffatori utilizzano per indurti a condividere le tue informazioni personali. Il phishing avviene in genere tramite e-mail contenenti link o allegati indesiderati a scopo di truffa. Il vishing e lo smishing rientrano nella categoria di phishing perché condividono gli stessi obiettivi, ma il vishing avviene tramite telefonata, mentre lo smishing tramite messaggi di testo (SMS).

Come funziona il vishing

Nella maggior parte dei casi, il vishing inizia con un truffatore che fa ricerche su di te per determinare il modo migliore per indurti a condividere le informazioni. Potrebbero utilizzare il tuo indirizzo e-mail per scoprire altre informazioni di identificazione personale (PII), come il tuo numero di telefono. Con queste informazioni, un truffatore può mascherare il suo prefisso cambiandolo per farlo corrispondere al tuo, facendoti credere di stare chiamando da un numero di telefono locale.

Se rispondi, il truffatore, potrebbe convincerti a condividere le tue informazioni personali, come i numeri di conto bancario, i dati della carta di credito o il tuo indirizzo di casa. I truffatori vogliono indurti a credere di essere persone o aziende legittime costruendo un rapporto attraverso l’ascolto attivo, una conversazione cordiale e domande stimolanti. Ultimamente, i truffatori hanno iniziato a utilizzare l’intelligenza artificiale (IA) per condurre attacchi di vishing replicando la voce di qualcuno che conosci. Grazie all’IA, i truffatori possono convincerti che un amico, un familiare o un collega ti sta chiamando analizzando la voce della persona dai video, spesso pubblicati sui social media. Dato l’uso dell’IA negli attacchi di vishing, queste truffe sono molto più difficili da rilevare perché le voci possono sembrare autentiche anche se non sono chi dicono di essere.

Se credi al truffatore e condividi le tue informazioni personali durante la telefonata, tali informazioni verranno utilizzate per commettere crimini informatici. Tra le attività dannose che i truffatori possono condurre con le informazioni da te fornite negli attacchi di vishing vi sono il furto di denaro dal tuo conto bancario, acquisti non autorizzati con la tua carta di credito o hacking del tuo account e-mail per truffare le persone di cui ti fidi.

Esempi di vishing

Ecco alcuni degli esempi più comuni di attacchi di vishing che potresti incontrare.

False chiamate da parte dell’IRS che richiedono un pagamento immediato

Un truffatore potrebbe fingere di essere un agente dell’IRS, chiamandoti per avvisarti che ci sono delle tasse da pagare e che devi fornire le tue informazioni sensibili per evitare azioni legali. La maggior parte delle false chiamate dell’IRS avviene tramite messaggi preregistrati, quindi probabilmente non parlerai con una persona in tempo reale. Il messaggio potrebbe sembrare del tipo: “Al fine di evitare conseguenze legali, devi fornire informazioni di pagamento valide per le le tasse dovute all’IRS entro 24 ore”. Questo attacco di vishing ha lo scopo di spaventarti e scoraggiarti dal dubitare della legittimità della chiamata dal momento che proviene da un’agenzia governativa. Tuttavia, l’IRS non ti contatterà mai telefonicamente per richiedere il pagamento senza prima contattarti via posta o e-mail senza il tuo permesso. Non fornire mai i dati di pagamento al telefono a qualcuno che afferma di essere dell’IRS a meno che non sia stato tu a chiamare e non abbia la certezza di stare parlando con un vero agente dell’IRS.

Chiamate dalla tua banca per chiedere i dati del conto

Potresti ricevere una telefonata da qualcuno che afferma di essere della tua banca, chiedendoti di verificare i dati del tuo conto. Poiché la tua banca non ti chiederà mai di condividere i dati del conto, inclusi i codici di sicurezza o le password, questo è un attacco di vishing. Un truffatore che si spaccia per la tua banca potrebbe dire qualcosa del tipo: “Abbiamo solo bisogno dei dati del tuo conto bancario per verificare un addebito sospetto. Puoi dirci il codice di sicurezza del tuo conto in modo da poterlo controllare?” È meglio riagganciare e contattare direttamente la tua banca per verificare se c’è bisogno delle informazioni del tuo conto. Fornire informazioni personali o sensibili al telefono a un truffatore potrebbe comportare il prosciugamento del tuo conto bancario.

Truffe del supporto tecnico che richiedono l’accesso al tuo computer

In un attacco di vishing del supporto tecnico, un truffatore si spaccia per un rappresentante di un’azienda tecnologica, come Apple o Microsoft. Il truffatore chiama e afferma di aver trovato un problema tecnico con il tuo computer e di aver bisogno di accedere da remoto per risolverlo. Durante la chiamata, il truffatore potrebbe dire qualcosa del tipo: “Abbiamo trovato un bug sul tuo dispositivo e dobbiamo accedervi per risolvere il problema. Puoi darci il tuo indirizzo e-mail e i dettagli del software attuale?” Potrebbe richiedere il tuo indirizzo e-mail per inviarti codici o contenuti scaricabili in modo da accedere al tuo dispositivo. Tuttavia, se fornisci questi codici o scarichi i contenuti potrebbe venire installato un malware sul tuo computer, risultando in un furto di dati e a un’invasione della privacy. Se ricevi una telefonata da un’azienda tecnologica che non hai contattato tu per primo, è meglio riagganciare e contattare direttamente l’azienda per confermare se ha riscontrato un problema con il tuo dispositivo.

Truffe Medicare che richiedono il tuo numero ID

Un altro attacco di vishing comune si verifica quando un truffatore si spaccia per un rappresentante Medicare e ti contatta in merito alla tua idoneità. Potrebbe comunicarti che la tua idoneità a Medicare verrà annullata a meno che non verifichi la tua identità fornendo il tuo numero Medicare attuale. Un truffatore che si spaccia per Medicare potrebbe dire qualcosa del tipo: “Non siamo in grado di verificare la tua identità senza ulteriori informazioni. Per ricevere i tuoi benefici Medicare, condividi il tuo numero ID Medicare”. Questo tipo di attacco di vishing mira a indurti a condividere il tuo numero Medicare e altre informazioni personali in modo che il truffatore possa rubare i tuoi sussidi e la tua identità. Non fornire le tue informazioni personali a qualcuno che afferma di essere di Medicare a meno che tu non abbia la certezza che la persona sia legittima o non sia stato tu ad averla contattata per prima.

Parenti che sostengono di aver bisogno di denaro per un’emergenza

Potresti pensare che sia facile capire se qualcuno si sta spacciando per un tuo familiare, ma sempre più i truffatori utilizzano l’IA per imitare voci familiari e indurti a condividere informazioni o denaro. Se ricevi una telefonata da un parente che afferma di aver avuto un incidente e di aver bisogno immediatamente di soldi, cerca di non farti prendere dal panico e di agire impulsivamente. Il più delle volte, questi attacchi di vishing assumono la forma di truffe ai nonni, visto che solitamente prendono di mira gli anziani spacciandosi per nipoti o parenti stretti alle prese con un evento catastrofico. Ad esempio, un truffatore potrebbe trovare la voce di tuo nipote attraverso un video sui social media. Può caricare il video su un software IA che clona la voce di tuo nipote, consentendogli di spacciarsi per lui in modo convincente. Se ricevi una telefonata del genere, contatta direttamente il familiare utilizzando un altro metodo, ad esempio inviando un SMS al numero di telefono salvato nei tuoi contatti.

Come proteggersi dal vishing

Puoi proteggerti dagli attacchi di vishing evitando le chiamate da numeri sconosciuti, creando una parola sicura con i tuoi cari, evitando di condividere le tue informazioni personali al telefono e assicurandoti che i tuoi account siano protetti con password forti.

Evita di rispondere alle telefonate da numeri sconosciuti

Se ricevi telefonate da numeri sconosciuti, è meglio non rispondere. I numeri sconosciuti sono spesso spam o truffatori, quindi evitare le chiamate indesiderate può aiutarti a proteggerti dagli attacchi di vishing. I truffatori potrebbero utilizzare un software per modificare il modo in cui il loro numero di telefono appare sullo schermo, spesso cambiandolo con un prefisso locale per infondere fiducia. Se un numero non si trova nei tuoi contatti, è meglio lasciare che la chiamata venga trasferita alla segreteria vocale anziché rispondere.

Crea una parola sicura con i tuoi amici e familiari

Poiché i truffatori utilizzano l’IA per spacciarsi per voci familiari nei loro attacchi di vishing, devi creare una parola sicura con i tuoi amici e familiari. I moderni attacchi di vishing mirano a indurti a credere con l’aiuto dell’IA che la persona dall’altra parte del telefono sia qualcuno a te vicino. Ma se utilizzi una parola sicura che solo i tuoi amici e familiari conoscono, puoi verificare l’identità di chi chiama. Se chi chiama non conosce la parola sicura o dà la risposta sbagliata, saprai che si tratta di un truffatore.

Non fornire mai le tue informazioni personali a qualcuno

Anche se qualcuno che afferma di essere dell’IRS o di un’altra azienda ti chiama per richiedere un pagamento immediato o informazioni personali, non rivelare mai le informazioni sensibili al telefono. Queste chiamate potrebbero minacciare gravi conseguenze, come il carcere o multe elevate, se non fai come dicono. Tuttavia, se non hai contattato tu direttamente l’IRS o un’azienda legittima, non c’è motivo di ricevere una chiamata da loro, quindi saprai che si tratta di attacchi di vishing.

Assicurati che i tuoi account siano protetti con password forti e l’MFA

Un modo importante per proteggersi dagli attacchi di vishing e da altre forme di phishing è proteggere i tuoi account online con password forti. Assicurati che ciascuno dei tuoi account abbia una password forte e unica composta da almeno 16 caratteri e una combinazione di lettere maiuscole e minuscole, numeri e simboli. Proteggendo i tuoi account con password forti e uniche, riduci il rischio che un truffatore indovini una password debole o riutilizzata e hackeri i tuoi account per rubare informazioni private.

Oltre a proteggere i tuoi account con password forti, devi anche abilitare l’autenticazione a più fattori (MFA) se è disponibile. L’MFA aggiunge un ulteriore livello di sicurezza ai tuoi account richiedendo un’altra forma di autenticazione per verificare la tua identità prima di accedere. Se riveli le tue credenziali di accesso in un attacco di vishing ma hai abilitato l’MFA, il truffatore non sarà in grado di accedere al tuo account con solo il tuo nome utente e password, poiché avrà bisogno di un altro modo per autenticare la tua identità. Alcuni tipi di MFA includono un codice da un’app di autenticazione, una risposta a una domanda di sicurezza, un PIN o le tue informazioni biometriche.

Ascolta il tuo istinto

Comprendiamo che, a prescindere da quanto sia preparato all’evenienza di un attacco informatico, può essere difficile essere emotivamente pronti alle potenziali conseguenze. È facile farsi prendere dal panico e abbandonare la logica quando ti rendi conto di poter essere vittima di un attacco di vishing, motivo per cui devi ascoltare il tuo istinto. Se stai parlando con qualcuno al telefono e hai la sensazione che non sia chi dice di essere, fidati del tuo istinto e riaggancia. È molto più sicuro chiamare direttamente un’azienda al numero di telefono riportato sul suo sito web ufficiale piuttosto che fornire le tue informazioni personali a qualcuno che ti fa sentire a disagio.

In conclusione

Poiché l’IA continua a essere utilizzata negli attacchi informatici, è importante sapere come proteggersi dagli attacchi di vishing, phishing e smishing. Indipendentemente da come si verifica un attacco di vishing, puoi proteggerti creando una parola sicura con i tuoi cari, evitando di condividere informazioni personali al telefono e proteggendo i tuoi account con password forti. Un modo semplice per proteggere i tuoi account con password forti è utilizzare un password manager come Keeper^®. Keeper Password Manager ti consente di creare, aggiornare e memorizzare le tue password uniche e i tuoi metodi MFA in una cassaforte sicura e crittografata.

Inizia la tua prova gratuita di 30 giorni di Keeper Password Manager per proteggere i tuoi account e proteggerti dagli attacchi di vishing.