Cos'è il vishing: come riconoscerlo e come proteggersi

Il vishing è un tipo di phishing effettuato dai criminali informatici tramite telefonate o con messaggi lasciati nella vostra segreteria telefonica allo scopo di ottenere i vostri dati personali o di farvi installare un malware. 

Prende il nome di vishing come risultato della combinazione dei termini inglesi voice (voce) + phishing. 

I criminali informatici si fanno passare per dipendenti di una nota azienda, per ingannarvi mediante tecniche di ingegneria sociale e convincervi ad agire come vogliono loro.

 

Come si riconosce il vishing?

Di solito, ricevete una chiamata inaspettata. Dato che siamo abituati a ricevere chiamate di telemarketing con diversi tipi di offerte, non sempre è facile distinguere il vishing.

Le telefonate di vishing sono molto simili alle email di phishing, perché utilizzano tecniche simili:

  • ricevete una chiamata inaspettata in cui vi informano di qualche problema o vi fanno un'offerta irresistibile spingendovi ad agire in qualche modo durante la stessa telefonata.
  • la chiamata proviene da un numero nascosto o di un altro paese (anche se ve ne accorgerete solo se vi chiamano sul cellulare)
  • vi chiedono direttamente di fornire loro i vostri dati personali o bancari al di là di quanto sarebbe ragionevole, o anche dei dati che loro stessi dovrebbero già conoscere se si trattasse di una chiamata autentica
  • a volte, vi chiedono di scaricare un software per risolvere un problema sul vostro computer da un link Internet fornito da loro stessi. 
  • se la conversazione si prolunga, noterete che di solito sono stranieri. Questo è normale perché in genere, per realizzare questo tipo di truffa, i criminali informatici allestiscono dei call center in altri paesi utilizzando operatori con poca padronanza della lingua italiana.
  • se la chiamata vi insospettisce e volete chiedere maggiori informazioni o discutere di altri argomenti, riagganciano o cercano di riprendere immediatamente il motivo della telefonata. Il loro tempo è prezioso e devono convincervi il più rapidamente possibile.

Le situazioni che vi si presentano nella chiamata sono molto diverse ed emergono costantemente nuove varianti. Alcuni esempi tipici di vishing sono le chiamate in cui i criminali informatici si spacciano per: 

  • Tecnico informatico: hanno rilevato strane attività sul vostro computer o cellulare e vi chiedono di installare un programma per risolvere il problema o per risolverlo da soli a distanza. In questo modo ottengono il controllo remoto delle vostre apparecchiature, grazie al quale acquisiscono i vostri dati o monitorano quando utilizzate, ad esempio, i servizi bancari online. Possono anche fingersi un'azienda che offre servizi di assistenza informatica per risolvere il vostro problema, e quando effettuate il pagamento raccolgono i vostri dati bancari completi. 
  • Impiegato di banca: durante la chiamata, fingono di essere impiegati della vostra banca e vi comunicano un problema o un blocco sul vostro conto o sulla vostra carta. Vi chiedono di dimostrare che siete i legittimi proprietari fornendo i dati completi delle carte o del conto bancario in modo che possano controllarli nei loro database. A volte vi chiedono anche di fornire loro il codice di sicurezza che avete appena ricevuto via SMS, per verificare che il vostro telefono funzioni correttamente. O il PIN della vostra carta. Tutte queste informazioni consentono loro di effettuare acquisti online o trasferimenti fraudolenti a vostro nome. 
  • Commerciale di una società di servizi (Telco, gas, elettricità, etc.): con il pretesto che c'è un addebito errato su una delle vostre bollette, vi chiedono le coordinate bancarie per procedere al rimborso dell'importo erroneamente fatturato.
  • Persona interessata all'acquisto di un prodotto: se offrite un prodotto di seconda mano su Internet, si mostrano interessati ad acquistarlo e chiedono le coordinate bancarie complete per poter effettuare il pagamento.
  • Altri pretesti utilizzati sono la partecipazione a un concorso o a una lotteria o l'offerta di un buono regalo.

Come fanno a sapere il mio numero di telefono?

Nella maggior parte dei casi, non lo sanno. I criminali informatici eseguono i loro attacchi su larga scala, sperando che una delle persone che ricevono la chiamata cada nella truffa e finisca per fornire i propri dati o installare il software.

Di solito non selezionano le loro vittime. Nel caso dei numeri di telefono, dato che hanno tutti lo stesso codice di intestazione e sono consecutivi è facile effettuare una campagna di vishing, basta chiamare uno dopo l'altro tutti i telefoni fissi di una determinata area geografica o tutti i cellulari con un prefisso stabilito di una compagnia telefonica.

A volte, possono ottenere ulteriori informazioni sul titolare di un numero di telefono tramite Internet e i social network. In tal modo, acquisiscono qualche dato aggiuntivo di base come il vostro nome e cognome, la città in cui vivete, etc., che utilizzano per comunicare con voi in modo più personalizzato e quindi rendere la truffa più credibile.

 

Come proteggersi dal vishing?

La situazione è diversa a seconda che effettuiate voi la chiamata o vi chiamino

Il caso più tipico di vishing è quando ricevete una telefonata. 

La cosa più importante da sapere è che ricevere una chiamata di vishing non vi rende automaticamente vittime della loro truffa. Questo succede solo se, durante la chiamata, fornite loro i vostri dati o accettate di installare un software sul computer. Le società affidabili hanno rigidi codici interni per non richiedere questo tipo di dati o azioni nelle chiamate effettuate ai propri clienti.

Quando ricevete una chiamata, vi consigliamo di agire nel modo seguente: 

  • State all'erta, e se ricevete una chiamata che non avete richiesto e denota un certo grado di urgenza non fidatevi.
  • Siate sospettosi e chiedete una conferma oltre ogni dubbio: non fidarsi di questo tipo di chiamate è normale, non dovete sentirvi in colpa. Una società seria saprà fornirvi ulteriori informazioni sulla situazione e in modo attendibile per chiarire i vostri dubbi. Sono loro che devono fornirvi le informazioni, non il contrario. Se il dubbio persiste, vi daranno la possibilità di contattarli con altri mezzi. 
  • Non fornite i vostri dati personali quando vi vengono richiesti attraverso una chiamata ricevuta. Controllate quali informazioni vi stanno chiedendo prima di fornirgliele, e chiedete loro perché vogliono saperle, visto che dovrebbero averle già. 
  • Non fornite mai dati segreti come identificativi utente, password di accesso e chiavi OTP appena ricevute tramite SMS; dati delle carte come numero, PIN, CVV, data di scadenza o altri tipi di coordinate bancarie in generale.
  • Prendete voi il controllo della conversazione: fate loro delle domande per confermare se sono la società che dicono di essere e chiedete se possono fornirvi dati più specifici su di voi oltre al vostro nome e numero di telefono. Controllateli senza dire loro se sono corretti o meno, e siate sospettosi se sono poco precisi o evitano di fornirveli "per motivi di sicurezza". 
  • Se i sospetti persistono, interrompete immediatamente la comunicazione. Spesso i criminali informatici non richiamano. Ma se succede, comunicate che sarete voi a chiamare il contact center e non accettate di farvi dare da loro il numero di telefono a cui chiamare.
  • Contattate direttamente la società da cui presumibilmente vi hanno chiamato e confermate il motivo della chiamata e che effettivamente provenga da loro. 
  • Bloccate il numero di telefono da cui vi hanno chiamato se sospettate che possa trattarsi di una truffa, per evitare che possano richiamarvi da quel numero.

Ricordate che BBVA non vi chiederà mai il nome utente e la password, gli OTP ricevuti via SMS, i dati delle vostre carte e dei vostri conti e, in generale, nessun tipo di informazione bancaria o personale tramite una chiamata che ricevete dal nostro contact center.

Se siete voi a chiamare il contact center di un ente o un servizio bancario: 

  • Assicuratevi di chiamare il numero di telefono corretto: In caso di dubbi, potete ottenerlo dal loro sito web o dall'app mobile ufficiale. Approfittate quando diventate clienti per spendere qualche minuto e salvarlo nella vostra rubrica. Se dovete chiamare, non copiate il numero di telefono da un'email o da un SMS ricevuto che vi sembrano sospettosi: potrebbe trattarsi di una truffa di phishing o smishing in cui venite reindirizzati a un falso contact center creato dai criminali informatici.
  • Imparate a riconoscere com'è il servizio di assistenza telefonica di quella società o ente: in qualche occasione, fate una telefonata al loro contact center per sapere come vi forniscono assistenza e informazioni in modo da darvi fiducia. Fate domande sui vostri dati. In tal modo, quando chiamerete per una richiesta ricevuta (email, SMS, etc.) potrete confrontare se il servizio che ricevete quel giorno coincide con il servizio che avete ricevuto altre volte.

 

Cosa fare se siete stati vittime di vishing?

Nonostante tutto, c'è la possibilità che la truffa sia fatta benissimo e finiate per fornire le vostre informazioni personali, i dati delle vostre carte o le password di accesso.

In tal caso, dovete agire immediatamente seguendo queste linee guida:

  • Segnalate il problema alla vostra banca. I principali enti e organismi bancari dispongono di appositi canali di segnalazione di questi casi con le relative istruzioni. Di solito, vi chiederanno di inoltrare loro l'email di phishing che avete ricevuto specificando il tipo di informazioni da voi fornite. Vi consiglieranno il modo migliore di procedere.
  • Modificate le vostre password: se avete fornito le password, il PIN della carta, i codici di accesso, etc. modificateli il prima possibile.
  • Eseguite una scansione antivirus: se avete installato un software, disinstallatelo e utilizzate un antivirus per eliminare eventuali malware rimasti nel vostro computer. Fate lo stesso con altri file che potreste aver scaricato.
  • Presentate una denuncia: se vi accorgete di aver subito una perdita economica, considerate la possibilità di denunciarlo di persona al commissariato di Polizia più vicino, consultabile nella Lista dei Punti di Interesse degli Uffici di Polizia (Questure e Commissariati).

Sapendo cos'è il vishing e come agiscono i criminali informatici, sarai in grado di identificare più facilmente questo tipo di truffa e proteggere i tuoi dati bancari personali.

Maggiore sicurezza sugli acquisti online con il CVV Dinamico

Ti potrebbe interessare