Vishing: cos'è, come funziona e come difendersi

Il termine phishing è ormai diventato piuttosto famoso e si utilizza per fare riferimento ai tentativi di truffa che vengono abitualmente posti in essere dai criminali informatici con lo scopo di trarre in inganno gli utenti, rubare credenziali di accesso, informazioni personali e trasferire fondi dai conti altrui.
I tentativi di phishing vengono posti in essere prevalentemente via email: Google ha realizzato tempo fa un quiz per riconoscere il phishing.

Alle modalità più classiche si sono però affiancate altre tattiche come ad esempio smishing e vishing. Mentre lo smishing è un tentativo di che si concretizza via SMS o comunque tramite soluzioni di messaggistica istantanea, il vishing (acronimo di voice phishing) è una forma di attacco in cui gli aggressori cercano di ingannare le vittime attraverso una chiamata telefonica al fine di ottenere informazioni personali o finanziarie.

Cos’è il vishing, come funziona e perché è pericoloso

Perché dovrei dare credito alle informazioni che mi vengono trasferite durante una telefonata? Si chiederà buona parte dei nostri lettori. Eppure recenti studi, ad esempio quello firmato da APWG (Anti-Phishing Working Group), confermano che le tecniche di vishing sono sempre più efficaci, anche grazie a tattiche di ingegneria sociale davvero evolute.

Nell’attacco vishing il malintenzionato finge di essere un dipendente di una banca o di un’azienda: quanto sostenuto durante la chiamata viene spesso rafforzato con la visualizzazione, sul display del terminale della vittima, di un numero di telefono che sembra effettivamente corrispondere all’istituto di credito oppure alla società citata durante la conversazione.

Il fatto è che risulta oggi molto semplice per gli aggressori utilizzare la tecnica del CLI o CID spoofing per spacciarsi per altri soggetti: il numero di telefono del chiamante non è quello reale e già una tattica del genere può trarre in inganno molti.

AGCOM (Autorità per le Garanzie nelle Comunicazioni) ha chiesto agli operatori di telecomunicazioni di vigilare sulla pratica del CID spoofing e sebbene, come spiegato nell’articolo citato in precedenza, possano essere di fatto sfruttati diversi schemi tecnici per bloccare l’utilizzo di numerazioni telefoniche generate in modo non autorizzato, ancora non sembra esserci un accordo tra le parti interessate.

Una volta contattata la vittima, gli aggressori cercano di convincerla a fornire informazioni riservate, ad esempio un numero di conto bancario, di carta di credito, un codice di sicurezza, delle password o altri dati che non dovrebbero mai essere comunicati, per nessun motivo, per via telefonica.

Gli attaccanti possono utilizzare varie tecniche per convincere a fornire le informazioni richieste, come ad esempio minacciare la chiusura del conto, il blocco della carta di credito, la promessa di promozioni e sconti. Spesso viene fatto riferimento al rilevamento di un accesso anomalo al conto corrente al quale viene offerto di porre rimedio con la collaborazione della vittima.
In generale, comunque, le tattiche usate in ambito vishing hanno carattere di minaccia, di urgenza e cercano di acquisire la fiducia dell’interlocutore paventando potenziali problemi di carattere economico, legale o pratico.

Perché e in che modo vengono messi in atto gli attacchi vishing

Prendiamo in esame il caso dell’accesso a un conto corrente bancario: tutti i principali istituti di credito prevedono l’utilizzo dell’autenticazione a due fattori: di solito l’accesso al servizio di online banking è autorizzabile dall’utente solo previa conferma tramite l’app della banca installata su un dispositivo mobile “autorizzato”.
Meno di frequente l’autorizzazione per l’accesso viene concessa tramite la comunicazione di un codice OTP generabile attraverso un’app di terze parti (ad esempio Google Authenticator o Microsoft Authenticator).

Alcune volte il codice di conferma viene inviato tramite SMS, modalità che viene universalmente considerata meno sicura per gestire l’autenticazione a due fattori e che oggi, ove possibile, dovrebbe essere sempre evitata e sostituita da meccanismi più sicuri.

I criminali informatici possono essere in qualche modo entrati in possesso delle credenziali corrette per l’accesso al conto ma non possono gestire a distanza il dispositivo della vittima che viene abitualmente utilizzato per superare l’autenticazione a due fattori.

La truffa viene quindi generalmente messa a segno in più fasi:

– Gli aggressori utilizzano le tecniche smishing e SMS spoofing: inviano SMS a un ampio numero di numerazioni mobili specificando come mittente il nome di una banca di un altro soggetto noto. Allestiscono una pagina phishing per indurre l’utente a inserire dati personali come nome e cognome, data di nascita, credenziali per l’accesso al conto corrente.

– In alternativa e in aggiunta al punto precedente, gli aggressori lanciano campagne spam per indurre gli utenti a installare malware su PC e dispositivi mobili. Anche in questo caso, grazie alle funzionalità di keylogging integrate e alle abilità nella sottrazione delle credenziali memorizzate nel password manager del browser, gli aggressori provano a impossessarsi delle credenziali di accesso altrui.

– Ancora, in aggiunta rispetto ai punti precedenti, gli aggressori cercano di inserire procedure per il download di malware all’interno di alcune applicazioni pubblicate sugli store online più famosi. Xenomorph è un malware Android che attacca le app delle banche, anche quelle italiane, e che una volta in esecuzione sul dispositivo è capace non soltanto di sottrrarre nomi utente e password ma anche di mettere gli aggressori remoti nelle condizioni di scavalcare misure di sicurezza avanzate come l’autenticazione a due fattori.

– Una volta in possesso delle credenziali di accesso delle vittime, gli aggressori utilizzano il vishing per chiedere alla vittima di confermare l’ingresso nel conto tramite app oppure di leggere il codice di conferma arrivato via SMS. Attenendosi alle indicazioni, la vittima di fatto consegna il suo conto corrente all’aggressore.

– In sostituzione del vishing, gli aggressori utilizzano sempre più spesso la tecnica dell’evil proxy: vengono cioè create applicazioni Web rispondenti a URL che contengono riferimenti a banche e aziende conosciute ma si frappongono tra il servizio remoto e il client dell’utente. Come fa un proxy, le richieste di superamento dell’autenticazione a due fattori prodotte dal server legittimo vengono elaborate quindi girate al client. Non appena l’utente inserisce i dati richiesti, le informazioni vengono intercettate e inoltrate agli aggressori.

Come difendersi dal vishing

Dati e informazioni personali, codici di accesso, PIN password, dati bancari e della carta di credito devono essere custoditi con il massimo scrupolo e non devono mai essere comunicati a terzi.

Prima di inserire le credenziali di autenticazione sul sito della banca o su qualunque altro servizio online, è sempre bene comprendere la struttura degli URL per capire se effettivamente ci si trova sulla pagina giusta e non su un sito phishing creato “ad arte” dagli aggressori.

Sia su PC e sui dispositivi mobili è sempre bene tenere elevata la guardia non dando mai credito a messaggi che invitano a cambiare password o ad effettuare operazioni delicate. La richiesta di cambio password può arrivare in casi eccezionali da parte di alcuni servizi che avessero subìto un’aggressione lato server. Di solito, però, questi messaggi contengono una chiara disamina dell’incidente occorso e non presentano ovviamente link facenti riferimento a URL “fasulli” (si torna all’importanza di studiare sempre bene la struttura degli URL…).

Utilizzare una soluzione per la sicurezza aggiornata e basata anche sull'”intelligenza derivante dal cloud” è fondamentale per evitare i rischi derivanti dall’esecuzione di codice malevolo sui propri dispositivi.
Anche un antivirus Android gratuito è sempre più essenziale così come è fondamentale controllare i permessi richiesti dalle app.
Le applicazioni utilizzate per sottrarre dati personali usano autorizzazioni Android pericolose che possono essere sfruttate per monitorare e modificare a distanza il funzionamento del dispositivo mobile.

Per proteggersi dal vishing, quindi dai tentativi di truffa per via telefonica, è importante evitare di fornire informazioni personali o finanziarie. Il phishing telefonico nel mercato libero dell’energia è purtroppo una piaga difficile da sanare: usando tattiche in perfetto stile vishing, gli operatori truffaldini cercano di carpire dati come codice POD/PDR (rispettivamente relativi a forniture di energia elettrica e di gas) e codici fiscali in modo da attivare un nuovo contratto senza l’esplicita autorizzazione dell’utente.