“Vishing” è un termine nato dalla combinazione di “voice” e “phishing” ed è una tecnica di attacco che gli hacker stanno sfruttando sempre più ora che moltissime persone lavorano da remoto. Gli attaccanti chiamano le vittime fingendosi dipendenti dell’azienda e sfruttano le tecniche di ingegneria sociale per ingannare le vittime e indurle a condividere le credenziali del proprio conto, le informazioni bancarie o altre informazioni sull’azienda. Gli aggressori utilizzano poi le informazioni per rubare i fondi della vittima e/o consegnare malware distruttivi. A mettere in guarda da questo pericolo sono i ricercatori di Check Point Research, che hanno indagato su due attacchi basati su questa tecnica mirati contro una società internazionale, che l’azienda ha descritto nel dettaglio.
La prima chiamata
Un aggressore ha chiamato il centro di supporto tecnico dell’azienda attraverso un numero disponibile al pubblico, chiedendo di parlare con un dipendente in particolare. L’attacante si è presentato come un collega, dipendente dell’azienda, utilizzando un accento simile a quello della persona reale. Durante la chiamata, l’aggressore ha richiesto il numero di telefono di altri due dipendentidell’azienda. La richiesta è stata cortese e accompagnata da un corretto spelling dei nomi, e poco dopo, il chiamante ha suggerito al destinatario di installare TeamViewer – un’applicazione di controllo remoto – presumibilmente per aiutare il destinatario a localizzare il numero di telefono desiderato. Si può presumere che il chiamante sia stato accuratamente selezionato per corrispondere alla descrizione del dipendente utilizzato come copertura, e che gli aggressori abbiano verificato che il dipendente stesse ancora lavorando presso l’azienda. In base al prefisso, è sembrato che la chiamata provenisse da Miami. Dopo ulteriori indagini, è stato scoperto che lo stesso numero di telefono era stato utilizzato e segnalato come phishing da utenti dell’Asia meridionale – Singapore, Filippine e Giappone, oltre che dall’Europa – Regno Unito, Polonia e Bulgaria. Gli individui hanno riferito che i chiamanti dello stesso numero hanno chiesto i dettagli di contatto dei colleghi. In totale, il numero di telefono è stato richiesto 95 volte negli ultimi 120 giorni.
La seconda chiamata
Analogamente all’episodio di cui sopra, l’attaccante ha contattato il centro di assistenza tecnica dell’azienda attraverso un numero telefonico accessibile al pubblico, chiedendo di parlare con un altro dipendente. In questo caso, l’aggressore ha condiviso una storia di copertura, coinvolgendo un’importante società di telecomunicazioni. Questa volta, ha usato un numero di telefono senza che si sapesse nulla delle segnalazioni di spam trovate online, proveniente da San Francisco. Di seguito è riportata una trascrizione parziale dellachiamata. Tutti i nomi sono stati sostituiti per proteggere l’identità degli obiettivi.
Come proteggersi dagli attacchi di tipo vishing?
Non condividere troppo. A meno che non siate assolutamente certi di chi sia la persona con chi state parlando, non date mai informazioni personali al telefono, in particolare i dettagli per i pagamenti
- Verificare l’autenticità. Se non siete sicuri dell’identità del chiamante, chiedete il suo numero e richiamatelo. Mentre siete ancora al telefono, cercate il loro numero su internet per verificarne l’autenticità
- Nessun bonifico bancario a sconosciuti. Non accettate mai di effettuare bonifici o pagamenti virtuali a persone che non conoscete.
- Siate preparati. La conoscenza e la formazione sono fondamentali. Più siete attenti a questo tipo di truffe, meno probabilità avete di caderne vittime
- Riattaccate. Riagganciare le chiamate sospette o non verificate non è mai scortese o una cattiva abitudine. 6. Segnalare attività sospette. Fate in modo che le chiamate sospette o i tentativi di frode vengano segnalati alla vostra banca il prima possibile.
«Gli attacchi di vishing sono tra le maggiori minacce informatiche che i lavoratori remoti si trovano oggi ad affrontare, poiché questi tipi di attacchi sono ormai chiaramente una tendenza preoccupante per il 2020», ha dichiarato Lotem Finkelsteen, manager di Threat Intelligence di Check Point. «In questi attacchi, l’aggressore controlla i vostri canali di informazione, lasciandovi senza una fonte affidabile per la verità. Una persona non può dire cosa è reale o falso. Stiamo vedendo che sempre più attacchi informatici, in più fasi, includono anche chiamate di vishing, per vari motivi. Per prima cosa gli attacchi di vishing aiutano gli hacker nella loro fase di ricognizione, dove possono apprendere di più sui loro obiettivi. In secondo luogo, gli attacchi in vishing rafforzano la fase di phishing, poiché la combinazione di una chiamata con un messaggio SMS, ad esempio, aumenta l’inganno. In terzo luogo, gli attacchi di vishing diventano il fulcro dei principali cyber-attacchi, come l’inganno alle vittime per fargli trasmettere i codici 2FA inviati via SMS o a concedere l’accesso a un determinato sistema, come è avvenuto nell’hijacking degli account Twitter all’inizio di quest’anno. I lavoratori da remoto dovrebbero imparare ovunque a non sovra-condividere e a verificare costantemente l’autenticità di chi si trova al telefono».
