Il supporto di Microsoft chiama per mettere in guardia su un problema legato a un software; l’ufficio delle imposte avverte tramite messaggio vocale che se non si versa immediatamente l’importo in sospeso si rischia una multa; la banca di fiducia comunica via telefono che il conto è stato bloccato: riuscireste a riconoscere un attacco di vishing in queste situazioni?
Vi trovate qui:
Cos’è il vishing e come potete proteggervi da questo pericolo?
Nel caso del vishing, persone malintenzionate si spacciano per collaboratrici e collaboratori di banche, assicurazioni, uffici delle imposte, customer center o centri di assistenza, telefonando alle potenziali vittime allo scopo di ottenere dati confidenziali o denaro. Scoprite in questo articolo quali tecniche usa chi ricorre al vishing e come è possibile difendersi.
Cos’è il vishing?
Il vishing è un attacco di phishing perpetrato via telefono o tramite messaggio vocale. I truffatori utilizzano sempre più spesso questa modalità di furto dei dati, poiché si rivela molto efficace. Una conversazione personale, infatti, ispira più fiducia rispetto a una comunicazione scritta. Inoltre, una telefona presuppone una reazione diretta, il che impedisce alle potenziali vittime di avere il tempo per analizzare meglio la situazione. L’obiettivo è dunque indurvi ad agire nell’immediato.
Maggiori informazioni sul phishing sono disponibili nel nostro articolo «Furto di dati in rete: il phishing sulle piattaforme di annunci».
Come agisce chi opera da visher?
Chi ricorre al vishing si spaccia spesso per una collaboratrice o un collaboratore di una banca, per un’impiegata o un impiegato dell’ufficio delle imposte o per un’intermediaria o un intermediario di assicurazioni nel tentativo di carpire informazioni personali come indirizzo, dati del conto o password. Altre volte, fingendosi persone addette al supporto, i visher inventano un problema legato al software che deve essere risolto scaricando un programma che, all’insaputa della vittima, contiene un malware che ruba i dati personali. Esistono anche visher che fanno credere alle potenziali vittime di aver vinto un concorso. Per ricevere il premio, la vincitrice o il vincitore deve prima fornire i dati del proprio conto. Indipendentemente dal tipo truffa messo in atto, tutte queste situazioni hanno qualcosa in comune: le storie sono sempre ben congegnate e, per raggiungere il proprio obiettivo, chi truffa ricorre a tecniche di social engineering come l’intimidazione o il fare pressione.
Come faccio a sapere se è la banca a chiamarmi?
Alcuni malintenzionati fanno credere che il conto sia stato bloccato e che è necessario controllare il computer prima che venga sbloccato. Per consentire tale operazione, la cliente o il cliente deve installare un software di accesso remoto come AnyDesk. Così nel momento in cui, successivamente, la o il titolare del conto accede all’online banking, anche i truffatori riescono ad accedere. Altri malintenzionati rinunciano a interagire personalmente e preferiscono lasciare un messaggio vocale nel quale, ad esempio, comunicano che si è verificato un problema legato al conto. La persona che richiama sente un messaggio in cui viene invitata a comunicare i dati di accesso o quelli della carta. Importante: in fase di autenticazione, gli operatori finanziari fanno domande alla o al cliente ad esempio sul saldo del conto, ma non chiedono mai dati confidenziali. Chi riceve una chiamata e sospetta che si tratti di un tentativo di vishing dovrebbe terminare la conversazione e chiamare il numero ufficiale della banca.
Cinque consigli di PostFinance per la vostra protezione
- Non divulgate mai i dati delle vostre carte di debito o di credito o informazioni confidenziali come dati di accesso o il NIP.
- Non digitate mai i dati di accesso e le password su pagine internet che avete ricevuto tramite link.
- Ricorrete all’autenticazione a due fattori per una protezione ottimale.
- Fate bloccare le vostre carte e/o l’accesso all’online banking, nel caso in cui qualcuno sia entrato in possesso dei vostri dati.
- Informate immediatamente il vostro istituto finanziario in caso di danno sospetto o subito.
Quali ripercussioni può avere il vishing?
Quando raggiungono il loro scopo, i visher possono effettuare acquisti, eseguire pagamenti oppure ottenere crediti a spese della vittima. In questo modo si rischia di perdere tutto il denaro, e forse anche le prestazioni sociali, oppure perfino di indebitarsi. Sempre più spesso i truffatori chiedono anche informazioni meno confidenziali, come ad es. sesso, nome o età, per poi venderle in internet o utilizzarle per un furto d’identità. Esistono anche criminali che intercettano le telefonate per utilizzare la registrazione della voce per creare deepfake . Dato che trovare i truffatori è difficile, la probabilità di recuperare il denaro perso è ridotta.
Come ci si può difendere dal vishing?
Le aziende, gli istituti finanziari, gli enti pubblici e la polizia non richiedono informazioni confidenziali per telefono. Se si riceve una telefonata con la richiesta di modificare le password o verificare i dati della carta di credito, la cosa migliore è riagganciare subito. Non si devono mai divulgare dati sensibili e non si deve nemmeno cliccare su link, aprire allegati, installare programmi o concedere l’accesso da remoto al proprio computer nell’ambito di una telefonata. Un modo per difendersi dal vishing è rifiutare le chiamate provenienti da numeri sconosciuti. I truffatori possono però nascondersi anche dietro a numeri di telefono apparentemente affidabili. Tramite cosiddetti programmi di spoofing è possibile infatti simulare facilmente numeri di telefono ufficiali. Se sospettate un tentativo di vishing, chiamate il numero da un altro telefono o chiedete direttamente al servizio clienti dell’azienda in questione.
Cosa fare quando si è stati vittima di una telefonata di vishing?
Chi ha fornito i propri dati personali al telefono e teme di essere caduto nella trappola di una o un visher dovrebbe agire immediatamente, modificando la propria password, bloccando la carta in questione e contattando tempestivamente l’istituto finanziario. Inoltre, occorre informare l’azienda a nome della quale si è stati contattati nell’ambito della truffa e sporgere denuncia alla polizia. In questi casi, segnalate la truffa anche al Centro nazionale per la cibersicurezza (NCSC) alla pagina Il link si apre in una nuova finestra report.ncsc.admin.ch. In generale vale questa regola: prima si interviene, maggiore è la probabilità di cavarsela senza subire grossi danni.
Informazioni utili sulla sicurezza
Scoprite di più sugli altri tipi di truffa nell’articolo «Le trappole di truffatrici e truffatori. Ecco tutto ciò che dovreste sapere in merito». Inoltre, il Centro nazionale per la cibersicurezza (NCSC) fornisce molte informazioni destinate ai privati su Il link si apre in una nuova finestra ncsc.admin.ch e altri contenuti sull’argomento sono disponibili sul sito Il link si apre in una nuova finestra skppsc.ch della Prevenzione Svizzera della Criminalità (PSC). Infine, con «eBanking ma sicuro», la Scuola universitaria di Lucerna offre diversi corsi fruibili su Il link si apre in una nuova finestra ebas.ch.