Ecco uno scenario comune. L'utente visita una piattaforma social media e clicca su un link allettante: immediatamente compare una schermata blu con l'avviso di chiamare il numero gratuito indicato per la riparazione di un grave problema del computer.
Un tecnico gentile risponde al telefono e offre la sua assistenza chiedendo di pagare una tariffa. Dopo che l'utente ha fornito i dati della carta di credito per pagare il software che risolverà il problema del computer, la truffa è completa e la vittima l'ha pagata a caro prezzo.
Il software non funziona e il tecnico scompare per non ricomparire mai più. L'utente è l'ennesima vittima di un tipo di frode chiamato "vishing".
Il vishing in breve
La maggior parte delle persone ha sentito parlare di "phishing". Il phishing consiste nell'inviare e-mail o SMS allettanti per indurre l'utente a cliccare su link a file o siti web che nascondono malware. I link possono comparire anche nella pubblicità online rivolta ai consumatori.
Il vishing usa truffe verbali per indurre gli utenti a fare qualcosa convincendoli che è nel loro interesse. Spesso il vishing inizia dove termina il phishing.
Nell'esempio sopra, la vittima ha cliccato su un link per una pubblicità online relativa ai suoi interessi personali. Il malware integrato nel link ha attivato un blocco che solo il gentile "tecnico" dall'altro capo del telefono è in grado di risolvere. La vittima dovrà spendere una certa somma di denaro per risolvere il problema. Naturalmente era solo una truffa che origina proprio dalla "società" a cui il tecnico appartiene.
Quanto è diffuso il vishing?
Nel 2015 si sono registrate frodi sulle carte di credito per 16 miliardi di dollari a livello mondiale e il vishing è responsabile per 1 miliardo di dollari, secondo la BBC. Essenzialmente si può verificare il vishing ogni volta che un hacker riesce ad accedere a informazioni personali di una vittima.
I cybercriminali creano deliberatamente le condizioni per aggirare vittime ignare, inducendole a fornire preziose informazioni personali come nomi, indirizzi, numeri di telefono e numeri di carta di credito.
Con queste informazioni, i malintenzionati possono produrre addebiti fraudolenti, iniziando da falsi corrispettivi per la riparazione di computer o l'acquisto di software antivirus, a seconda della truffa.
Il vishing prospera quando i cybercriminali hanno qualche informazione sugli interessi dell'utente. Approfittano di queste conoscenze per creare un senso di urgenza in relazione a un problema nella vita della vittima e poi entrano in scena in modo rassicurante con una soluzione semplice al problema.
Come riconoscere il vishing
A volte è difficile per le persone capire quando sono vittima di vishing. La vittima spesso non si rende conto che la persona disponibile dall'altro capo del telefono la sta ingannando, fino a dopo che ha rivelato le sue credenziali. Ci sono però alcuni segnali che possono aiutare a individuare potenziali frodi.
Spesso i chiamanti si auto-definiscono esperti o molto competenti nel loro campo. Riescono a farsi passare per tecnici informatici, bancari, agenti di polizia o addirittura vittime stesse.
Tuttavia, se questi chiamanti sono legittimi, deve essere possibile verificare la loro effettiva appartenenza all'organizzazione dichiarata con una semplice telefonata. Se non possono o non vogliono fornire le informazioni necessarie per verificare la loro identità, non devono essere considerati attendibili. Se invece forniscono informazioni di contatto, è importante verificare in modo indipendente la loro legittimità, utilizzando un numero di telefono ufficiale per chiamare l'organizzazione in questione.
Anche se è facile cedere alla pressione, un frenetico senso di urgenza è un'enorme bandiera rossa. Gli utenti devono fare un paio di respiri profondi e poi annotare ogni informazione che la persona fornisce durante la chiamata, senza fornire dettagli a loro volta. Potranno così accedere a fonti di terze parti per trovare un numero di telefono pubblico da chiamare per verificare.
I destinatari di queste chiamate non devono inoltre cliccare sui link nelle e-mail (phishing) o negli SMS (SMiShing) che la persona al telefono potrebbe inviare. Qualsiasi corrispondenza è probabile che contenga "ganci" atti a scaricare malware che potrebbe prendere il controllo dei sistemi di computer, rubare le credenziali dell'utente e persino spiarlo.
Se i consumatori ricevono chiamate indesiderate da qualcuno che offre servizi informatici di qualsiasi tipo, non devono richiamare utilizzando lo stesso telefono su cui hanno ricevuto la chiamata.
Oggi è disponibile una tecnologia telefonica che consente di bloccare la linea telefonica della vittima dopo che ha riagganciato e reindirizzare le chiamate successive al chiamante fraudolento. Le persone che ritengono che un problema potrebbe essere autentico devono utilizzare un altro telefono e chiamare un numero di telefono pubblicamente riconoscibile.
Segnalare il crimine
Un vero tecnico che intervenga a ripristinare un computer dopo un'infezione da malware consiglierebbe con decisione ai consumatori di cambiare le password degli account, notificare l'incidente alle banche e alle società di carte di credito e monitorare attentamente le transazioni finanziarie. I consumatori degli Stati Uniti devono anche segnalare le chiamate di vishing alla Federal Trade Commission online o al numero (888) 382-1222. L'Internet Crime Complaint Center dell'FBI si occupa delle indagini sul vishing.
Il vishing e il suo cugino online, il phishing, rimarranno in giro ancora per un po', tuttavia la vigilanza e una buona dose di scetticismo possono essere utili per ridurre il rischio di perdite derivante da questi tipi di truffe.
Articoli correlati:
- Cos'è l'adware?
- Cos'è un trojan?
- Dati concreti e domande frequenti su virus informatici e malware
- Spam e phishing
Prodotti correlati: