Cos'è il vishing? | Prevenire gli attacchi di vishing

Cos'è un attacco di vhishing?

Il vishing è la pratica di indurre le persone a condividere informazioni sensibili tramite telefonate. Le vittime di vishing sono indotte a credere di condividere informazioni sensibili con un'entità fidata, come l'autorità fiscale, il loro datore di lavoro, una compagnia aerea che utilizzano o qualcuno che conoscono personalmente. Il vishing è noto anche come "voice-phishing".

Phishing è il termine generico utilizzato per indicare la pratica di tentare di rubare informazioni sensibili fingendosi una persona affidabile. Esistono diverse forme di phishing, tra cui il phishing via e-mail (a volte indicato solo come "phishing"), il phishing vocale o vishing, il whaling e lo spear phishing.

Sebbene gli attacchi vishing siano più difficili da rilevare o monitorare, è importante capire che gli aggressori spesso tentano di accedere alle informazioni attraverso diversi mezzi contemporaneamente. Pertanto, un aumento significativo degli attacchi di phishing tramite e-mail può essere interpretato come un segnale che potrebbero aver luogo anche tentativi di phishing vocale. Le aziende dovrebbero informare i propri dipendenti su tali incidenti, perché un personale attento è il miglior scudo contro questi attacchi.

In che modo vishing e social engineering sono correlati?

Il vishing è una forma di social engineering. Gli autori di attacchi convincono la vittima a fare qualcosa che altrimenti non farebbe, come condividere i dettagli della carta di credito, in una telefonata non richiesta. L'autore di un attacco gioca con le emozioni umane di base, come l'avidità, la paura o il desiderio di aiutare. In caso di emergenza, gli aggressori potrebbero fingere di essere un amico e indurre la vittima a trasferire denaro oppure potrebbero impersonare un membro del reparto IT di un datore di lavoro per ottenere il nome utente e la password per accedere alla rete aziendale.

Come funzionano gli attacchi di vishing?

Gli attacchi di vishing possono assumere diverse forme, ma spesso utilizzano alcune delle seguenti tattiche:

• Un elemento sorpresa: chi chiama potrebbe affermare di far parte di un'organizzazione che normalmente non chiamerebbe, come le autorità fiscali, un'azienda o la lotteria nazionale. Potrebbe anche affermare di essere qualcuno che la vittima conosce e che chiama in circostanze insolite.
• Un senso di urgenza e paura: chi chiama può insinuare o minacciare conseguenze negative se una determinata azione non viene intrapresa rapidamente. Tali conseguenze potrebbero includere una sanzione, come il timore di essere arrestati se un debito fiscale non viene saldato immediatamente, o la perdita di un'opportunità, come non avere accesso a una vincita alla lotteria a meno che le informazioni personali non vengano condivise immediatamente.
• Una richiesta di informazioni: il chiamante chiederà informazioni sensibili o personali, come nome completo, indirizzo, data di nascita, numero di passaporto o dettagli della carta di credito. L' autore di un attacco potrebbe già possedere alcune informazioni e cercare di completarle o verificarle.
• Un elemento di attualità: gli attacchi di vishing sono spesso collegati ad eventi di attualità. Ad esempio, all'inizio della pandemia di Covid-19, gli aggressori hanno chiamato i dipendenti che avevano appena iniziato a lavorare da casa, spacciandosi per membri del loro reparto IT. Hanno chiesto nomi utente e password per poter concedere l'accesso alle applicazioni e ai dati aziendali. Questi attacchi si sono verificati a livello internazionale e hanno coinvolto diverse organizzazioni. Sono state prese di mira agenzie governative e ONG, insieme a aziende manifatturiere, sviluppatori di software e compagnie aeree.

Come non diventare vittima del vishing

Per proteggersi dal phishing, gli utenti possono adottare diverse misure di sicurezza. Queste includono:

• Diffidare di chiunque chieda soldi o informazioni sensibili per telefono: siano esse informazioni personali o informazioni su un'organizzazione di cui il destinatario fa parte. La maggior parte delle autorità non chiederebbe tali informazioni per telefono.
• Essere consapevoli delle possibilità tecniche di stabilire una falsa identità nelle chiamate telefoniche: non è difficile falsificare numeri di telefono o utilizzare un numero regionale specifico utilizzando la tecnologia VoIP. Per questo motivo, non bisogna fidarsi delle chiamate in arrivo basate sull'ID chiamante o sui numeri locali.
• Essere scettici nei confronti dell'urgenza: è saggio non fidarsi di chiunque sembri creare un senso di urgenza o incoraggiare un'azione immediata. Mantieni invece la calma e considera le possibili conseguenze.
• Non fidarsi implicitamente dell'identità del chiamante: è importante verificare l'identità del chiamante cercando un numero di telefono aziendale disponibile al pubblico e chiamandolo. Se il chiamante fornisce un numero per essere richiamati, questo non dovrebbe essere utilizzato in quanto potrebbe far parte della truffa. Se la persona che chiama afferma di essere un amico o un familiare, contattala tramite altri mezzi di comunicazione o chiama i contatti comuni per verificare quanto afferma.

Come proteggere un'organizzazione dagli attacchi di vishing

Esistono diverse misure che le aziende possono adottare a livello culturale e tecnologico per proteggersi dagli attacchi di vishing.

Formazione: è importante istruire i dipendenti sulle attuali tendenze del vishing e sulle loro caratteristiche generali. In questo modo, i dipendenti saranno in grado di individuare gli attacchi in base alla loro conoscenza di uno scenario specifico oppure di esercitare cautela se ritengono che siano presenti le caratteristiche degli attacchi di vishing. È anche utile che i leader ricordino ai propri dipendenti i casi in cui sono disposti o meno a contattarli. Ad esempio, un CEO non chiamerebbe mai i dipendenti per chiedere loro informazioni private o per effettuare un bonifico bancario. Per quanto ovvio possa sembrare, è comunque bene che l'amministratore delegato lo comunichi regolarmente.

Cultura: le organizzazioni dovrebbero impegnarsi per far sì che i propri dipendenti si sentano a proprio agio nel segnalare di essere stati vittima di un attacco di vishing. L'ideale sarebbe che avessero una procedura in atto per questi casi, che si assicurassero che il personale ne fosse a conoscenza e che creassero un clima di fiducia in cui i dipendenti non temessero ripercussioni per aver segnalato tempestivamente gli incidenti.

Tecnologia: gli attacchi di vishing che avvengono tramite telefonate sono più difficili da rilevare e prevenire rispetto agli attacchi di phishing tramite e-mail. Tuttavia, è possibile adottare alcune misure per il controllo e il monitoraggio dei danni.

• Autenticazione a più fattori: se sono necessari due o più fattori di verifica per accedere ai sistemi e alle informazioni interne, sarà difficile per gli aggressori ottenere l'accesso semplicemente rubando le credenziali di accesso tramite telefono.
• Principio del privilegio minimo: se un dipendente è vittima di un attacco di vishing e il suo dispositivo viene compromesso, bisogna assicurarsi che il danno sia il più minimo possibile. È fondamentale accertarsi che i dipendenti abbiano accesso solo ai sistemi e alle informazioni di cui hanno bisogno per il loro ruolo. La tecnologia di accesso alla rete Zero Trust, come i servizi Zero Trust di Cloudflare, può aiutare a gestire questo accesso.
• Log di accesso: è importante disporre di sistemi in grado di rilevare e monitorare attività insolite. La tecnologia Zero Trust aiuta le organizzazioni anche a fare questo.
• Utilizzo della sicurezza della posta elettronica come sensore: gli aggressori solitamente utilizzano più forme di social engineering contemporaneamente. Utilizzando la tecnologia di sicurezza e-mail di Cloudflare, i tentativi di phishing tramite e-mail verranno bloccati e l'organizzazione verrà avvisata di un aumento dei tentativi. L'aumento del phishing tramite e-mail spesso implica un aumento del phishing vocale.