Vishing: come difendersi dalle truffe telefoniche

Cos’è il Vishing

Il vishing è una tipologia di truffa telefonica che sfrutta le chiamate vocali per ottenere dati riservati. Il termine deriva da “voice phishing” e descrive un attacco che punta a manipolare le persone tramite la voce.
Rispetto al phishing via email o SMS, il vishing si basa su una conversazione diretta. Questo rende l’inganno più credibile e crea un senso di urgenza che spinge la vittima a rivelare informazioni sensibili come credenziali, codici OTP o dettagli bancari.

Come operano i truffatori

Gli attaccanti si presentano come figure autorevoli, ad esempio operatori bancari o tecnici IT. Con toni convincenti creano allarme e inducono la vittima a eseguire azioni immediate.
Un elemento ricorrente è il caller ID spoofing, tecnica che falsifica il numero visualizzato sul telefono. In questo modo la chiamata sembra provenire da una fonte affidabile, come la banca o l’azienda del dipendente. Da lì il passo verso la sottrazione dei dati è breve.

Casi di vishing

Le truffe vocali hanno assunto forme sempre più credibili con i criminali che usano linguaggio tecnico, numeri autentici e un tono di urgenza che spinge la vittima a fidarsi. Ecco le due più diffuse

• Truffe bancarie
  Un falso operatore chiama il cliente fingendo di appartenere al reparto antifrode e, con tono preoccupato, comunica che “sono stati rilevati movimenti sospetti” e che serve una verifica immediata. La vittima, spinta dalla paura di un furto, fornisce credenziali o codici OTP generati in tempo reale.
  La chiamata sembra autentica perché il numero sul display coincide con quello della banca: è il risultato del caller ID spoofing, una falsificazione del numero chiamante che inganna anche gli utenti più attenti. In alcuni casi, l’attaccante accompagna la chiamata con un’email di conferma fasulla, creata per rinforzare la credibilità della conversazione. È un esempio di attacco ibrido: voce ed email lavorano insieme per ottenere accesso ai conti correnti.
  
• Falsi helpdesk IT
  Questo schema è frequente nel settore aziendale: il truffatore si presenta come tecnico interno o come partner informatico e segnala un “problema urgente” nel sistema di posta o nel profilo aziendale.
  Con la scusa di risolverlo, chiede di installare un software di assistenza remota, condividere la password della casella aziendale, oppur di fornire codici di autenticazione. Una volta ottenuto l’accesso, chi attacca può installare malware, intercettare comunicazioni interne o rubare dati dei clienti. Questi episodi dimostrano quanto sia facile sfruttare la fiducia e la pressione psicologica in contesti lavorativi, dove le persone tendono ad agire velocemente pur di non bloccare un processo operativo.

Attacchi combinati

Il vishing raramente agisce da solo, spesso si intreccia con campagne di phishing o smishing per rendere la truffa più credibile.
In questi casi la voce rappresenta solo l’ultimo passo di una strategia pianificata: la chiamata serve a confermare informazioni che la vittima ha già ricevuto tramite email o SMS.
Un esempio tipico è la finta segnalazione di un accesso anomalo. L’utente riceve prima un’email di avviso, apparentemente inviata dalla banca o dal reparto IT, e pochi minuti dopo una telefonata di un “operatore” che chiede conferma dei dati. La sequenza degli eventi riduce la diffidenza e spinge la vittima a collaborare.
Questo approccio coordinato, chiamato attacco multicanale, sfrutta il punto debole di ogni azienda: la frammentazione dei canali di comunicazione. Se il reparto IT gestisce solo l’infrastruttura tecnica e la formazione rimane separata, i truffatori trovano spazio per inserirsi.
Per contrastare queste minacce serve un’integrazione vera tra tecnologia e comportamento.
Un sistema di email security avanzato filtra i messaggi malevoli e blocca link o allegati pericolosi, mentre la formazione periodica aiuta i dipendenti a riconoscere richieste

Difenditi dal vishing

Il vishing funziona perché la chiamata sembra legittima, il numero visualizzato è corretto, la voce è sicura, le informazioni sono coerenti.
Tutto lascia credere che si tratti davvero della banca, del provider o del reparto IT: per questo la chiamata che ricevi non ti desta troppi sospetti.

La difesa non può basarsi sull’intuito, ma su regole chiare e automatismi di comportamento:

1. Nessuna condivisione immediata
Qualunque richiesta di credenziali, codici OTP o dati sensibili deve accendere un allarme perché nessun ente serio li chiede per telefono.
La tua reazione deve essere quella di interrompere la conversazione e chiudere.

2. Verifica su canali ufficiali
Il caller ID può essere falsificato, se richiami quel numero rischi di parlare ancora con i truffatori. Per questo non devi richiamare lo stesso numero e non devi assolutamente rispondere a eventuali SMS successivi; è più sicuro cercare il numero dell’istituto o del reparto direttamente sul sito ufficiale, nella documentazione contrattuale o su un motore di ricerca. Solo dopo si può richiedere conferma dell’autenticità della segnalazione.

3. Coinvolgimento immediato dell’IT
Nel contesto aziendale, ogni episodio va comunicato subito al reparto IT o alla sicurezza informatica, indicando ora, numero, nome usato dal chiamante e sintesi della richiesta. Un report tempestivo consente di bloccare eventuali tentativi paralleli, aggiornare le policy e avvisare gli altri dipendenti.

4. Azioni successive
Se la vittima ha fornito anche un solo dato sensibile, deve cambiare subito le credenziali, revocare le sessioni attive e controllare eventuali accessi sospetti.
Nel caso di dati bancari, contattata la banca per bloccare o monitorare le operazioni.