Civile

Il Garante privacy aiuta a difendersi dagli attacchi malevoli di vishing

I malfattori del vishing utilizzano il telefono come strumento per appropriarsi di dati personali, soprattutto di natura bancaria o legati alle carte di credito, con lo scopo di sottrarre somme di denaro più o meno ingenti

di Elisa Chizzola*

Il Garante per la protezione dei dati personali mette in guardia da una forma di truffa sempre più diffusa, il cd. "vishing" (o "phishing vocale"), fornendo utili suggerimenti per non rimanerne vittima.

I malfattori del vishing utilizzano il telefono come strumento per appropriarsi di dati personali, soprattutto di natura bancaria o legati alle carte di credito, con lo scopo di sottrarre somme di denaro più o meno ingenti.

Il danno purtroppo può essere a volte anche molto ingente, perché prima che la vittima si accorga delle sottrazioni di denaro può passare del tempo, durante il quale i truffatori (i "visher") sono in grado di effettuare numerosi prelievi e transazioni. Non solo, c'è anche il rischio che i dati rubati possano essere rivenduti ad altri cyber criminali.

Vishing: come viene messo in atto

Solitamente le vittime vengono contattate telefonicamente da finti operatori di banche o di società che gestiscono bancomat o carte di credito, i quali, con la scusa di presunte "anomalie", chiedono alle persone, apparentemente nel loro stesso interesse, di collaborare a mettere in campo necessarie (e false) "procedure di sicurezza".

Nel caso più frequente, i truffatori chiedono direttamente di fornire i riferimenti del conto corrente o della carta di credito (come il PIN del bancomat o quello utilizzato per l'Internet banking, il numero della carta, il codice di sicurezza sul retro della carta, i dati dell'OTP cioè della password temporanea per eseguire operazioni sul conto bancario e sulla carta di credito, ecc.).

In altri casi, durante o dopo la finta telefonata di allarme, viene inviato sul cellulare un messaggio con un codice di conferma e viene chiesto alla vittima di leggerlo ad alta voce all'operatore. Tale codice serve in realtà ad autorizzare trasferimenti di denaro a vantaggio dei truffatori, entrati precedentemente in possesso dei dati bancari o della carta di credito (ad esempio, attraverso altre azioni di phishing o tramite altri cybercriminali).

Oppure può anche capitare che il messaggio inviato dai visher contenga un link per accedere ad un form dove è richiesto di inserire i dati bancari o della carta di credito oppure il presunto "codice di sicurezza" ricevuto dai truffatori (che serve in realtà ad autorizzare versamenti a vantaggio dei visher).

Alle vittime può anche essere chiesto di scaricare e installare app e programmi, che ufficialmente dovrebbero servire per proteggere conti e carte di credito, ma che in realtà possono operare come trojan (programmi malevoli) utili a carpire dati personali o addirittura capaci di accedere alle app e ai programmi con cui si gestiscono internet banking e carte di credito. Spesso i truffatori chiedono alle loro vittime di inserire nella app malevola dati bancari o della carta di credito, per poi appropriarsene.

I truffatori operano anche tramite messaggi (inviati sullo smartphone o via e-mail, o lasciati in segreteria telefonica) per spingere le vittime a richiamare urgentemente determinati numeri, contattati i quali si parla con un operatore o si ascolta un messaggio registrato: in entrambi i casi, la vittima è invitata a fornire, per la propria sicurezza e in modo urgente, informazioni di vario tipo, compresi dati bancari e/o della carta di credito.

Vishing e phishing: similitudini e differenze

Gli attacchi informatici che si perpetuano attraverso il vishing sono molto simili nelle modalità e nelle finalità con gli attacchi di phishing.

Innanzitutto, entrambi rappresentamento attacchi informatici e hanno in comune in fatto che l'azione malevola deriva dall'azione di una terza parte non autorizzata ed intenzionata ad arrecare un danno patrimoniale alla vittima. Infatti, l'utente viene spinto a porre in essere determinate attività affinché l'hacker possa copiare (in termini tecnici, "esfiltrare") i suoi dati per utilizzarli a scopo fraudolento e a suo danno. In concreto, i dati rubati possono poi essere utilizzati per fare acquisti a spese del soggetto che subisce l'attacco utilizzando per esempio la sua carta di credito, prelevare denaro dal suo conto o addirittura per compiere attività illecite utilizzando il suo nome e le sue credenziali.

Dal punta di vista soggettivo dell'agente che pone in essere l'evento delittuoso, le due attività illecite sono simili, in quanto (come sopra sottolineato per il vishing) il soggetto malintenzionato si presenta, in genere, come un soggetto autorevole (banca, gestore di carte di credito, ente pubblico, ecc.) che invita a fornire dati personali per risolvere particolari problemi tecnici con il conto bancario o con la carta di credito, per accettare cambiamenti contrattuali o offerte promozionali, per gestire la pratica per un rimborso fiscale o una cartella esattoriale, ecc.

Fin qui le similitudini, mentre le due tipologie di attacco si differenziano essenzialmente perché si sviluppano attraverso due strumenti diversi.

L'attività illecita di phishing avviene di solito via e-mail, sms, chat e social media, mentre perché ci sia un vishing deve esserci un contatto telefonico diretto, almeno iniziale, ecco perché è chiamato anche "phishing vocale".

In particolare, normalmente i messaggi di phishing invitano a fornire direttamente i propri dati personali, oppure a cliccare un link che rimanda ad una pagina web dove è presente un form da compilare, il tutto avviene senza un contatto telefonico diretto tra il malintenzionato e la vittima.

Mentre nel vishing occorre che ci sia una finta telefonata di allarme iniziale e poi, come sopra specificato, è possibile che si instaurino anche altri contatti con invii di messaggi, link, app e programmi.

Altro aspetto in comune tra phishing e vishing sta nel fatto che entrambi i fenomeni fanno leva sul timore legato ad un rischio incombente per convincere le vittime ad abbassare il livello di prudenza e a reagire d'impulso. Entrambe si basano su forme di ingegneria sociale.

In particolare, le cd. tecniche di "social engineering", si fondano sostanzialmente sullo studio del comportamento e della psicologia degli individui con lo scopo di influenzare il percorso decisionale della mente inducendo le persone a compiere determinate azioni sui loro pc e i loro dispositivi, con il fine ultimo di carpire informazioni e dati utili.

Ecco che gli hacker attraverso le tecniche di social engineering approfittano spesso di questo aspetto inducendo nella vittima un'esigenza pressante di decidere in fretta, spingendo la persona a decidere in poco tempo e modellando la loro decisione verso il compimento di un'azione (istintiva) sbagliata.

Anche sotto questo profilo, le due tipologie di attacchi informatici in esame si differenziano leggermente perché il vishing fa leva sulla maggiore fiducia che l'essere umano tende a riporre in una persona di cui sente telefonicamente la voce e che sembra essere autorizzata a richiedere informazioni. Pertanto, il vishing è ancora più pericoloso e emotivamente coinvolgente.

Alcune varianti del vishing

Come detto, solitamente gli attacchi di visher derivano da truffatori che si fingono operatori di banche o carte di credito, tuttavia può capitare che i malfattori si fingano finti impiegati o finti operatori pubblici. Il Garante privacy parla di "varianti del vishing", riferendosi alle ipotesi in cui:

• un finto impiegato del servizio clienti di una società (di solito di software) chiama per segnalare un problema (di sicurezza, di presunto uso non regolare del software, ecc.);

• un finto impiegato di una società comunica che la vittima potrà ricevere un premio o ha diritto a particolari sconti o agevolazioni, a patto di fornire i dati del conto bancario e altre informazioni;

• un finto ufficio pubblico contatta la vittima per imposte o multe da pagare con urgenza pena l'applicazione di ingenti sanzioni, convincendola a fornire informazioni di vario tipo.

Come difendersi dal vishing

In generale, per difendersi da tutti gli attacchi informatici innanzitutto la prima forma di difesa è la prudenza.

Oltre a ciò, nei giorni scorsi il Garante per la protezione dei dati personali ha diffuso un'interessante informativa con una serie di suggerimenti su come difendersi in particolare dal vishing, concentrandosi anche sugli elementi su cui prestare particolare attenzione (si vedano i paragrafi seguenti).

Al di là della messa in atto di determinate cautele, se comunque si ha il dubbio di essere stati o poter essere vittime di vishing e, in generale, di phishing è consigliabile contattare immediatamente la banca o il gestore della carta di credito attraverso canali di comunicazione conosciuti e affidabili per segnalare e, in caso di sottrazione di denaro, richiedere il blocco delle transazioni. In questa seconda ipotesi, si può anche segnalare la truffa subita alle autorità di polizia.

Diffidare da numeri anonimi, da numeri di cellulare o da prefissi stranieri

Per prima cosa, il Garante privacy sottolinea come istituzioni e aziende chiamino di solito da numeri fissi e comunque con prefissi nazionali: pertanto, chiamate provenienti, ad esempio, da numeri anonimi, da numeri di cellulare o da prefissi stranieri possono essere considerate anomale e dovrebbero renderci prudenti (anche se il ricevere la chiamata da un numero apparentemente "ordinario" non è ovviamente garanzia di sicurezza).

Diffidare delle chiamate con toni ultimativi o intimidatori

È opportuno diffidare delle chiamate con toni ultimativi o intimidatori, che ad esempio minacciano la chiusura del conto bancario, il blocco della carta di credito o eventuali sanzioni se non si compie subito una certa azione: possono essere subdole strategie per spingere il destinatario a fornire informazioni e dati personali spingendo la vittima a decidere in breve tempo.

Se ci riflettiamo bene, questo comportamento frettoloso e poco trasparente, si pone in netta contraddizione con i rapporti che contraddistinguono il mondo business to consumer. Gli operatori telefonici, infatti, hanno normalmente un atteggiamento cortese nei confronti dei clienti: occorre quindi considerare sospette le chiamate di operatori che si rivolgono a noi con toni poco educati o troppo confidenziali, non consoni all'azienda o all'istituzione che dovrebbero rappresentare.

Diffidare dunque sempre da pratiche che implicano richieste poco ragionevoli e che spingono il destinatario ad agire di fretta e con azioni tempestive, leve su cui si basano le sopra descritte tecniche di ingegneria sociale.

Mai comunicare a sconosciuti dati e informazioni personali, codici di accesso, PIN password, dati bancari e della carta di credito

L'Autorità di controllo ricorda poi che dati e informazioni personali, codici di accesso, PIN password, dati bancari e della carta di credito non dovrebbero mai essere comunicati a sconosciuti. È importante tenere presente che amministrazioni pubbliche, banche e aziende fornitrici di carte di credito:

- conoscono già determinate informazioni (numero di conto o numero della carta, ecc.);

- non ci dovrebbero chiedere quelle informazioni che, di solito, esse stesse ci invitano a mantenere riservate (PIN, password, codici di autorizzazione, ecc.).

A questo proposito, le banche e gli istituti di credito solitamente ricordano ai loro clienti proprio questo fatto con messaggi ed alert che invitano a non comunicare codici o credenziali personali a nessun soggetto, mettendo quindi espressamente in guarda i loro clienti da pratiche di cyber criminali.

Prudenza verso mail o messaggi che chiedono di richiamare

Il Garante privacy consiglia nel caso si ricevano mail o messaggi (anche in segreteria telefonica), che chiedono di richiamare determinati numeri di aziende o istituzioni, di controllare sempre prima se tali numeri corrispondano a quelli ufficiali, consultando, per esempio, i siti web ufficiali. Per verificare la veridicità della richiesta, si suggerisce di non chiamare i numeri indicati nel messaggio e di rivolgersi al centralino o all'URP dell'azienda o dell'istituzione per farsi mettere in contatto con l'ufficio che dovrebbe aver inviato il messaggio.

Meglio non richiamare numeri sconosciuti

Seguendo sempre il generale principio di prudenza, altra buona cautela è quella di evitare di richiamare numeri sconosciuti, soprattutto nel caso di telefonate mute con caduta immediata della linea e se la numerazione ci appare anomala.

È consigliato un controllo periodico delle movimentazioni e l'attivazione di alert automatici. Al fine di proteggere conti bancari e carte di credito, l'Autorità di controllo suggerisce di controllare spesso le movimentazioni e attivare sistemi di alert automatico che avvisano l'utente di ogni operazione effettuata.

* a cura di Elisa Chizzola

Per saperne di piùRiproduzione riservata ©