Il vishing, o voice-phishing, è un tipo di attacco di phishing che avviene tramite telefonate. Scopri di più sugli attacchi di vishing, su come prevenirli e sul loro ruolo nel quadro più ampio del social engineering.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Cosa si intende per sicurezza della posta elettronica?
Come impedire il phishing
Business Email Compromise (BEC)
Come fermare le e-mail di spam
Spoofing via e-mail
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Il vishing è la pratica di indurre le persone a condividere informazioni sensibili tramite telefonate. Le vittime di vishing sono indotte a credere di condividere informazioni sensibili con un'entità fidata, come l'autorità fiscale, il loro datore di lavoro, una compagnia aerea che utilizzano o qualcuno che conoscono personalmente. Il vishing è noto anche come "voice-phishing".
Phishing è il termine generico utilizzato per indicare la pratica di tentare di rubare informazioni sensibili fingendosi una persona affidabile. Esistono diverse forme di phishing, tra cui il phishing via e-mail (a volte indicato solo come "phishing"), il phishing vocale o vishing, il whaling e lo spear phishing.
Sebbene gli attacchi vishing siano più difficili da rilevare o monitorare, è importante capire che gli aggressori spesso tentano di accedere alle informazioni attraverso diversi mezzi contemporaneamente. Pertanto, un aumento significativo degli attacchi di phishing tramite e-mail può essere interpretato come un segnale che potrebbero aver luogo anche tentativi di phishing vocale. Le aziende dovrebbero informare i propri dipendenti su tali incidenti, perché un personale attento è il miglior scudo contro questi attacchi.
Il vishing è una forma di social engineering. Gli autori di attacchi convincono la vittima a fare qualcosa che altrimenti non farebbe, come condividere i dettagli della carta di credito, in una telefonata non richiesta. L'autore di un attacco gioca con le emozioni umane di base, come l'avidità, la paura o il desiderio di aiutare. In caso di emergenza, gli aggressori potrebbero fingere di essere un amico e indurre la vittima a trasferire denaro oppure potrebbero impersonare un membro del reparto IT di un datore di lavoro per ottenere il nome utente e la password per accedere alla rete aziendale.
Gli attacchi di vishing possono assumere diverse forme, ma spesso utilizzano alcune delle seguenti tattiche:
Per proteggersi dal phishing, gli utenti possono adottare diverse misure di sicurezza. Queste includono:
Esistono diverse misure che le aziende possono adottare a livello culturale e tecnologico per proteggersi dagli attacchi di vishing.
Formazione: è importante istruire i dipendenti sulle attuali tendenze del vishing e sulle loro caratteristiche generali. In questo modo, i dipendenti saranno in grado di individuare gli attacchi in base alla loro conoscenza di uno scenario specifico oppure di esercitare cautela se ritengono che siano presenti le caratteristiche degli attacchi di vishing. È anche utile che i leader ricordino ai propri dipendenti i casi in cui sono disposti o meno a contattarli. Ad esempio, un CEO non chiamerebbe mai i dipendenti per chiedere loro informazioni private o per effettuare un bonifico bancario. Per quanto ovvio possa sembrare, è comunque bene che l'amministratore delegato lo comunichi regolarmente.
Cultura: le organizzazioni dovrebbero impegnarsi per far sì che i propri dipendenti si sentano a proprio agio nel segnalare di essere stati vittima di un attacco di vishing. L'ideale sarebbe che avessero una procedura in atto per questi casi, che si assicurassero che il personale ne fosse a conoscenza e che creassero un clima di fiducia in cui i dipendenti non temessero ripercussioni per aver segnalato tempestivamente gli incidenti.
Tecnologia: gli attacchi di vishing che avvengono tramite telefonate sono più difficili da rilevare e prevenire rispetto agli attacchi di phishing tramite e-mail. Tuttavia, è possibile adottare alcune misure per il controllo e il monitoraggio dei danni.