Ogni tanto qualche parola nuova si aggiunge al nostro vocabolario. Siamo in tema di posta elettronica e oggi vediamo cos’è il vhishing.
Facciamo un riepilogo
- Phishing – Termine che indica un’email che tenta di farsi passare per quello che non è con un link che porta a un sito contraffatto che ha lo scopo di rubare dei dati al visitatore.
- Smishing – Stessa cosa del phishing ma effettuato tramite SMS e non tramite email.
E oggi invece vediamo il vishing che sta per phishing vocale.
Il vishing si concretizza in una chiamata telefonica da parte di una persona che si finge un operatore telefonico o della banca o di un’azienda che emette carte di credito e che può avere due scopi:
- chiederti le credenziali di accesso a un servizio o comunque qualche tuo dato personale, il codice OTP o altro
- dirti che ti verrà mandata un’email per ottenere questi dati perché è più sicuro che non dirli al telefono
Quest’ultima ipotesi è quella che è successa di recente a un amico, che mi ha subito interpellato perché la cosa gli pareva sospetta e che ho spiegato in dettaglio in questo post relativo al furto di identità.
Questo è il vishing ed è molto più preoccupante perché la telefonata da parte di una persona reale aggiunge quell’autorità che alla singola email può mancare e può farti cadere in trappola più facilmente se la persona all’altro capo del telefono è brava. L’essere umano è tendenzialmente portato a fidarsi di un’altra persona ed è su questo che giocano i delinquenti.
Il contenuto della telefonata potrebbe essere simile a questo
Salve signora, la chiamo dalla Banca XYZ: un malintenzionato ha tentato di rubare i dati della sua carta di credito ma per fortuna ce ne siamo accorti per tempo. Cortesemente ci fornisca le sue informazioni originali così le potrò confermare che i suoi dati siano corretti e protetti.
Magari in questo caso il delinquente conosce già il numero della carta di credito della vittima ma gli manca il CVC (o CVV) cioè quel numero di sicurezza che è scritto sulla carta. Dato che conosce il numero della carta, la vittima ritiene che sia effettivamente chi dice di essere.
Oppure, come nel caso di cui ho parlato prima, la telefonata potrebbe essere più subdola nel caso in cui l’operatore si finge qualcun altro ma non chiede i dati telefonicamente, dicendo invece che a breve riceverà un’email – per maggiore sicurezza – a cui il malcapitato dovrà rispondere indicando i suoi dati personali.
Il sito delle Poste che è uno dei più presi di mira dai delinquenti con tutte le tecniche possibili e immaginabili, ha messo online una pagina molto interessante che ha anche una sezione dedicata al vishing e con un filmato ben fatto che ne spiega il funzionamento.
Trovi le info su https://www.poste.it/psd2-e-sicurezza—come-difendersi-dalle-truffe.html