Di cosa parliamo?

La parola vishing è composta dall’unione di due parole: voice e phishing.

Parlare di un attacco vishing è come parlare di phishing, solo che l’attacco si perpetra per telefono o tramite messaggio vocale. È, di fatto, un crimine informatico, perché rientra tra le tecniche utilizzate dai truffatori per accedere al denaro o ai dati personali delle vittime.

Allora perché utilizzare il termine vishing?

Questo tipo di reato informatico utilizza tecniche che puntano sui sentimenti delle persone, sfruttando quella che si definisce ingegneria sociale, incidono sulla fiducia, la paura, l’avidità o l’altruismo. Il truffatore suscita panico, ansia o altri tipi di emozioni che offuscano la capacità di giudizio della vittima e così sottrarle denaro o dati sensibili.

Come funziona?

Nella maggior parte dei casi i truffatori informatici si spacciano per persone di cui la gente tende a fidarsi, come il dipendente di una banca, il funzionario dell’Agenzia delle Entrate o l’agente assicurativo. I malcapitati ripongono talmente fiducia in queste persone da affidare loro le credenziali dell’accesso alla home banking o delle carte di credito o di debito. I criminali sono, inoltre, molto abili ad adattare il contenuto delle telefonate in base all’area in cui si risiede, al periodo dell’anno, all’età o ad altre circostanze personali. Tra le tecniche più diffuse ci sono:

• truffe a sfondo fiscale oppure previdenziale: i criminali si fingono funzionari dell’Agenzie delle Entrate (o di un recupero crediti) oppure di un ente di previdenza e intimoriscono le vittime per mancati pagamenti, minacciando sanzioni;
• truffe per offerte imperdibili: i criminali telefonano e offrono un prestito, un premio o una succosa occasione di investimento. Essendo offerte estremamente vantaggiose, si è indotti ad accettarle;
• truffe per conto corrente compromesso: una forma di vishing nella quale il truffatore chiama per informare che il conto della vittima è stato compromesso e rischia di subire un attacco informatico. Chi chiama tenta di convincere la persona ad effettuare delle operazioni di storno suggerite per neutralizzare i tentativi di prelievo messi in opera dai truffaldini

In base ad uno studio sulla sicurezza informatica, nel 2022 gli attacchi di vishing sono aumentati quasi del 550%, un numero enorme. Il pericolo sembrerebbe non derivare soltanto dalla quantità: è stato dimostrato che gli attacchi di vishing sono molto più efficaci rispetto a quelli di phishing. Secondo uno studio pubblicato dall’IBM, infatti, un normale attacco di phishing va a segno in circa il 18% dei tentativi, mentre uno di vishing è efficace praticamente una volta su due.

Un caso concreto che ADOC ha seguito

La signora Claudia (il nome è finto) riceve una chiamata telefonica da un sedicente operatore di una nota banca che la informa che dalla Svizzera è in corso un tentativo di fronde sul suo conto corrente da parte di una persona: è quindi necessario effettuare delle operazioni di storno per metterlo in sicurezza. Per acquistare la fiducia della signora Claudia, la quale sospetta che l’operatore non sia della banca, il truffatore le invia un Sms sul suo smartphone con il logo dell’istituto bancario e la dicitura ‘pagamento in uscita’, convincendo così la vittima.

Il truffatore le chiede di accedere all’app collegata al conto e fare alcune ricariche consecutive su una carta prepagata che la signora Claudia possedeva, ma non aveva mai utilizzato. Una volta fatte le ricariche alla signora viene consigliato di disinstallare l’applicazione e poi di reinstallarla comunicandole le credenziali. Il totale della frode in questo caso ammonta a circa 8.500 euro.

È bene ricordare che le banche per nessun motivo chiedono ai loro clienti di fornire i dati di accesso ai loro conti per telefono!

Le istruttorie per assistere i truffati, tramite Reclamo presentato alla propria banca o, in caso di diniego, con il ricorso all’Arbitro Bancario Finanziario (Abf), non sempre danno ragione al ricorrente.

Infatti, nel caso che abbiamo appena raccontato la conclusione è che se da un lato è criticabile il comportamento della signora Claudia che ha agevolato l’azione dei criminali, non riponendo la massima accortezza nel fornire dati, dall’altro è anche discutibile il comportamento dell’intermediario bancario che non ha attivato i presìdi di sicurezza necessari in tale situazione che avrebbero potuto indubbiamente limitare i danni subiti dalla signora Claudia.

Ufficio Comunicazione ADOC