In questi tempi di smart working forzato a causa dell’emergenza sanitaria per la pandemia di Covid-19 e di un utilizzo sempre maggiore delle telefonate per mantenere i contatti lavorativi e personali, una “vecchia” tipologia di attacco informatico sta tornando prepotentemente alla ribalta: il vishing o voice phishing, cioè una variante del phishing che usa il telefono come vettore per portare a termine truffe informatiche ai danni di ignare vittime.
Indice degli argomenti
Vishing e smart working: il contesto
Lo scorso dicembre la Polizia Postale ha scoperto una frode informatica da oltre un milione di euro e, con l’accusa di associazione a delinquere finalizzata alla sostituzione di persona, al furto aggravato e all’indebito utilizzo di carte di pagamento elettronico, ha arrestato sei persone aventi come base logistica l’hinterland napoletano.
L’organizzazione criminale ha commesso la truffa attraverso uno schema ben strutturato, pianificando preliminarmente il furto della corrispondenza nei centri di smistamento nel Centro-Nord Italia allo scopo di individuare i dispacci contenenti le carte di credito o debito, spediti da parte degli istituti di credito.
Reperiti i dati dei clienti, passava al contatto diretto delle vittime: spacciandosi per dipendenti della banca, i membri dell’organizzazione, riuscivano con abilità persuasive a farsi rilasciare i dati per gli accessi, i PIN dei titoli, dai clienti intimoriti a causa da problemi inerenti all’attivazione del titolo stesso.
Attraverso i conti correnti e le carte prepagate on-line, l’organizzazione ha potuto poi monetizzare i proventi indebitamente prelevati in contanti negli sportelli ATM, facendoli confluire nella rete dei prepagati e finalizzando il riciclo delle somme di denaro a favore del gruppo (“money mules”).
Vishing e smart working: la trappola
Le pratiche utilizzate sono riconducibili appunto alle tecniche di vishing, una tecnica del cybercrime che prevede l’impiego di sempre più sofisticate attività ed abilità di social engineering e che consente ai criminal hacker di evitare i presidi di eventuali firewall, sfruttando le vulnerabilità della persona al telefono.
La trappola arriva attraverso la voce. Una richiesta posta da voce suadente oppure autorevole, impostata e “professionale”. Come dicevamo, il vishing si riferisce ad un neologismo anglosassone nato dalla fusione tra «voice» e «phishing».
Quest’ultima è una pratica più conosciuta, in cui il truffatore si affida alla comunicazione tramite e-mail: è un tipo di minaccia identificata da circa 10 anni negli Usa e collaudata tecnica ormai conosciutissima in tutta Europa.
Il vishing è dunque, di fatto, la versione telefonica del phishing. Lo scopo è il medesimo: il criminale utilizza la comunicazione per accedere ai dati, rubare identità e dirottare altre risorse, inducendo la vittima a divulgare informazioni personali, finanziarie o di sicurezza o a trasferire del denaro.
Per fare ciò utilizza come vettore di attacco il telefono invece dell’e-mail. L’attaccante induce le vittime a condividere informazioni personali e finanziarie, usando tattiche di ingegneria sociale – metodi psicologici e sociali per manipolare o ingannare gli utenti – e le stesse emozioni delle vittime per indurle a fornire informazioni o ad eseguire un’azione specifica.
Nello schema delle truffe di vishing finanziario è generalmente l’attore che impersona la banca, la società della carta di credito o un altro istituto finanziario, chiamando la vittima e segnalando addebiti fraudolenti o, in altri casi, per sottoporre una “offerta speciale ed irripetibile”. Ma è sempre l’attore che sollecita la risposta immediata della vittima: agisca subito o perderai! Con l’obiettivo finale di condividere le informazioni personali, finanziarie o relative alle credenziali dell’account al telefono.
Le tecniche utilizzate per la telefonate fanno leva sulla voce e sul senso di urgenza, sulla compassione e comprensione che viene concessa alla vittima da parte di chi commette la frode. Far sì che la vittima si fidi e collabori, in quanto sente che l’attore agisce nelle migliori intenzioni.
La vittima dovrà fidarsi – o sentirsi nel panico – affinché possa fornire informazioni personali per risolvere la situazione il più rapidamente possibile. L’azione è sempre veloce e deve sorprendere la vittima, preferibilmente concentrata sul lavoro o altre azione. Cogliere di sprovvista, sorprendere attraverso una chiamata inattesa che determini una reazione emotiva (come la paura o il panico) attraverso uno scenario falso. Creare senso di urgenza in modo da annullare qualsiasi segnale di allarme. Tutti fattori cruciali del phisher telefonico.
Come avviene l’attacco
Come nel caso di cronaca sopra descritto, le più frequenti truffe si riscontrano nel settore finanziario e bancario: il cliente viene contattato dal sedicente operatore dell’istituto di credito e avvisato circa una presunta o tentata truffa di cui la sua carta di credito è stata oggetto. La vittima segue la richiesta di fornire alcune informazioni personali, confermando i dati del titolo e nella speranza di poter bloccare repentinamente il furto perpretato ai suoi danni. Lo scopo è quello di carpire rapidamente i codici di accesso, in particolare il PIN o le credenziali di conti correnti e carte di credito.
Preliminarmente all’attacco, il truffatore possiede informazioni del suo target, sottratte tramite altre tecniche oppure come nel caso della truffa postale rubate attraverso la corrispondenza.
Il livello di difesa della vittima è pressochè annullato, in quanto il truffatore possiede informazioni e numeri da controllare e, dunque, i due interagiscono: la vittima finisce per affidarsi al sedicente operatore di filiale con lo scopo di sventare la truffa.
L’attore malintenzionato mira, infatti, ad ottenerse questo tipo di reazione ed ottenere cioè risposte che, in circostanze normali, sarebbero considerate richieste non realistiche. Stimola una risposta emotiva in un contesto condizionato dalla paura, l’urgenza, la curiosità o persino eccitazione. Affermandosi però come un’autorità – qualcuno che può aiutare a risolvere il problema o che può essere di beneficio in qualche modo.
Nel caso della banda dei centri di smistamento postale, le informazioni base, preliminari all’attacco, sono state acquisite tramite un furto mirato alle Poste Italiane, ma non è questa l’unica modalità per acquisire dati personali e finanziari.
Qualche idea in merito arriva da Kaspersky lab che ha individuato la darkent di un sito di ecommerce, dove si possono acquistare 60K identità digitali rubate. L’utilizzo fraudolento di queste identità digitali consente tali attività illegali, connettendosi ad azioni di quel cybercrime che si occupa di carding, ossia delle transazioni tramite carte di credito.
Nel deep web e dark web, i dark market proliferano; portali e-commerce in cui si trova di tutto dalle droghe, armi, killer, gioielli, film pedopornografici, dati trafugati, credenziali aziendali e bancarie evia dicendo.
Se è vero che i consumatori hanno una scarsa percezione della forma e delle dimensioni di questo mondo sommerso, stupisce la scarsa consepevolezza delle organizzazioni così come riferisce una delle autorevoli personalità del mondo cybersec e fondatore di SpyCloud, Ted Ross. Lo stesso Ross del paradigma Zero trust, il fautore della prevenzione all’orgine delle violazioni che prevede connessioni con gli attori “fidati” della criminalità, coloro che possono agire laddove i dati sulle vengono condivisi per primi.
Come nel caso della truffa interecettata dalla Polizia postale, la telefonata dell’attaccante può avvenire in diretta, ma in altri casi sono state affidate a telefonate preregistate fatte con l’ugenza di risolvere un qualche problema sul conto bancario o sulla carta di credito o di richiedere il contatto telefonico ad un certo numero per la comunicazione dei dati necessari per tale risoluzione.
Le modalità sono diverse e, perciò, le chiamate possono avere una persona reale, attiva dall’altra parte della linea telefonica che sta tentando di truffare o possono essere completamente automatizzate laddove si ha a che fare solo con un robot.
Altri tipi di chiamate sono persino un ibrido dei due: una chiamata da un sistema automatizzato che avrà una persona reale che interverrà per rispondere alla chiamata. Gran parte delle chiamate in arrivo viene generalmente effettuata utilizzando la tecnologia VoIP (Voice over Internet Protocol) in combinazione con lo “spoofing” dell’ID chiamante che le rende praticamente irrintracciabili ed, è per questo motivo, più difficile per le forze dell’ordine cercare di reprimere questi crimini.
Lo spoofing dell’ID chiamante consente a un utente malintenzionato di fare apparire il proprio numero di telefono come se provenisse da un numero di telefono legittimo, nel prefisso locale e anche questo fattore determina fiducia della vittima che si convince e si fida dell’ID chiamante.
Vishing e smart working: un fenomeno in crescita
Uno studio del 2017, relativo ai dati e la trasparenza delle chiamate, condotto da First Orion di Little Rock, una società leader nelle soluzioni aziendali di rete, specializzata nell’identificazione delle chiamate e nel software di gestione delle chiamate, rilevava come le truffe telefoniche siano aumentate negli Usa in modo significativo nei due anni precedenti.
Le truffe che rappresentavano allora solo il 3,7% di tutte le chiamate mobili in arrivo, nel 2018 quel numero ha raggiunto quasi il 30%. La ricerca di First Orion indica che: “… i truffatori stanno ora utilizzando le informazioni personali per indirizzare i consumatori direttamente impersonando aziende legittime per truffare denaro. In effetti, il 75% delle vittime riferisce che i chiamanti delle truffe avevano i loro dati personali e li utilizzava per estrarre dati aggiuntivi, portando direttamente a una perdita finanziaria“.
Lo studio cita anche i provvedimenti governativi intrapresi per la lotta contro le truffe: la Federal Communications Commission (FCC) ha offerto ai gestori di telefonia mobile la possibilità di bloccare le chiamate per impostazione predefinita, Camera e Senato hanno approvato progetti di legge per colpire i robocall illegali con multe fino a $ 10.000 per chiamata, la legislazione accelererebbe il lancio di STIR / SHAKEN, uno standard di autenticazione delle chiamate a livello di settore. Sebbene non sia stato bloccato, rappresentano alcuni degli sforzi che nel 2019 sono stati intrapresi.
Nel Rapporto Internet Crime Complaint Center dell’FBI sui crimini Internet del 2018, il “phishing/vishing/smishing/pharming” ha causato complessivamente 26.379 vittime e $ 48.241.748 di perdite[1].
Pur tenendo presente, tuttavia, che questi numeri rappresentano solo le vittime chi ha denunciato i crimini, la crescita del phishing vocale è segnalata anche nel rapporto State of the Phish 2019 di ProofPoint. Questa indagine evidenzia anche la consapevolezza del pubblico di professionisti infosec: solo il 18% degli intervistati è stato in grado di identificare con precisione il vishing e il 63% ha indicato di non avere idea di cosa significhi[2].
Vishing e smart working: nuova minaccia per le aziende
Nell’attacco vishing, così come il phishing, il target è l’individuo, ma chiaramente il problema non riguarda solo i consumatori: sempre più frequentemente sono colpite le aziende attraverso i dipendenti. L’attenzione dovrebbe dunque essere molto alta, soprattutto in considerazione dell’alto numero di telefonate che sono state rilevate e per il fatto che migliorano le tattiche di attacco anno dopo anno.
In Italia, maggiore familiarità abbiamo avuto con un tipo di truffa telefonica avente l’obbiettivo di “rifilare” un contratto di qualche genere di servizio: consumatori meno avveduti o più distratti sono finiti nella rete con la promessa di ricevere servizi gratuiti o regali, di qualche promozione o peggio, di richiesta di beneficenza per un ente, oppure opportunità di investimento aziendale o della vincita di un soggiorno interamente gratuito.
Si tratta di tipologie di truffa che continuano a colpire specialmente le persone anziane e che hanno uno schema di telemarketing presto rintracciabile. Alcuni segnali ci permettono d’individuarle: “Sei stato appositamente selezionato per – Riceverai un bonus gratuito se – Hai vinto uno dei cinque preziosi – Questo investimento è a basso rischio e offre un rendimento superiore … – e ancora Devi decidere subito”.
Negli USA sono frequenti quelle che potremmo definire frodi governative, vale a dire perpetuate da parte da sedicenti funzionari governativi che richiedono il pagamento di tasse. Lo stratagemma preferito dei truffatori riguarderebbe le telefonate eseguita da parte del The Internal Revenue Service (IRS) e solo nel maggio 2019, ci sono state circa 46.600 truffe di impostori governativi segnalati alla Consumer Sentinel Network.
Frequenti anche quelle del settore Sanitario, opera di attori che richiedebbero dati allo scopo di avviare l’assistenza sanitaria fingedosi operatore della Social Security Administration (SSA). Considerevoli sono le perdite secondo il rapporto dell’FBI: “Nel 2018, l’IC3 ha ricevuto 14.408 denunce relative a frodi nel supporto tecnico da parte di vittime in 48 paesi. Le perdite sono ammontate a quasi $ 39 milioni, il che rappresenta un aumento del 161% rispetto alle perdite rispetto al 2017”.
Sempre dagli Usa si segnala il caso delle frodi del supporto tecnico. Sedicenti tecnici che provengono da una società rispettabile e rinomata, chiamano la vittima designata con lo scopo d’intervenire sul computer e per fornire loro l’accesso remoto allo scopo di risolve inesistenti problematiche tecniche. In altri casi, sono gli attaccanti ad attirare le vittime richiedendo il contatto telefonico.
È contemplato anche il ricorso ai messaggi popup per le richieste di assistenza tramite avvisi progettati per apparire come provenienti dal software antivirus o dal sistema operativo, che informa le vittime circa minacce rilevate sul computer, con lo scopo di indirizzarle all’immediato contatto del numero di telefono di un presunto tecnico.
Come difendersi
Esistono fortunatamente alcune azioni di prevenzione in grado di annullare l’azione dell’attaccante:
- innanzitutto, non bisogna mai fornire informazioni personali;
- porre sempre attenzione alle telefonate;
- È sempre lecito esguire accertamenti: la consultazione dei siti ufficiali ed il controllo delle fonti e i canali servono per autenticare l’interlocutore;
- nessuna esitazione nell’interrompere le chiamate sospette.
Conclusioni
Abbiamo visto quale ruolo cruciale giochi l’emotività della vittima che viene sfruttata per questo genere di attacchi.
Nostro malgrado, stiamo parlando di vulnerabilità informatiche al cospetto di un difficililissimo momento, la realtà in cui siamo piombati da oltre due mesi e che ha colto tutti impreparati. Prendiamo coscienza delle fragilità degli individui e delle collettivà confrontandoci con il disastro del contagio pandemico e le paure da esso scatenate.
Con lo scopo di limitare la diffusione del coronavirus, quella dell’isolamento è stata la misura necessaria da seguire. Tuttavia, con la frettolosa quanto opportuna diffusione del lavoro aziedale da remoto che per comodità stiamo definendo smart working, ci troviamo a fare i conti l’aumento dell’esposizione ai rischi in rete.
In questo scenario inedito, caratterizzato dalla vertiginosa crescita del numero di connessioni ed uso dei social, situazione favorevole agli attacchi malevoli, aumentano vulnerabilità e rischi anche in relazione all’emotività a cui siamo sottoposti.
NOTE
- L’attacco informatico, noto come smishing, viaggia via sms: lo smartphone riceve un messaggio con cui ci viene chiesto, anche con la promessa di uno sconto o di una promozione, di contattare un certo numero di telefono o di collegarsi ad un certo sito. Che quasi sempre però è un sito clone, in tutto e per tutto simile a quello della banca. ↑
- 2020 STATE OF THE PHISH | ANNUAL REPORT, proofpoint.com ↑