L'ANALISI TECNICA

Vishing su TikTok, attenti allo scherzo telefonico: è una truffa

Una frode criminale di phishing telefonico si sta diffondendo su TikTok con tutta la viralità di uno scherzo: una segreteria telefonica automatica informa l’utente che una grossa somma di denaro sta per essere addebitata sul suo conto. Attenzione, perché ogni chiamata potrebbe trasformare l’interlocutore in vittima

12 Lug 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Sta acquisendo sempre maggiore popolarità su TikTok lo scherzo ripreso e condiviso in formato video, secondo il quale si chiama un’utenza telefonica per informarla di una somma in denaro che sta per essere depositata sul suo conto corrente, chiedendo appunto informazioni dettagliate in merito ai propri rapporti bancari.

Uno scherzo telefonico su TikTok che sfrutta il vishing

Quello che per i giovani registi del social video più famoso al mondo è uno scherzo telefonico, di fatto è la copia esatta di un perfetto schema di vishing, ovvero quella pratica fraudolenta che consiste nel convincere le persone a rivelare informazioni personali e dati bancari tramite telefono.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Questo tipo di video sta spopolando su TikTok e viene messo in pratica organizzando tutta la chiamata, facendo ascoltare alla vittima dall’altro capo della cornetta la voce di una finta segreteria telefonica, adoperando nella maggior parte dei casi software di sintesi vocale come il comune Google Translator che include la lettura vocale delle frasi che vengono immesse dalla digitazione manuale.

Tutta la conversazione sarà incentrata nell’invito a voler comunicare dati bancari “utili all’accredito” delle somme in arrivo sul conto corrente, che però in questo caso fanno parte di uno scherzo telefonico, ma il risultato fa pensare a quanto le persone siano fragili anche solo dietro una cornetta telefonica.

Gli esperti di Kaspersky, che hanno individuato la nuova truffa, sono partiti da questa situazione diventata ormai virale online per estrarre un report che evidenzi quanto questa tendenza si concretizza nella pratica con attacchi di vishing studiati non per fare uno scherzo telefonico, ma per frodare prima dati personali e poi denaro da ignare vittime.

In effetti, quello che emerge anche dal report è che le persone, davanti ad un normale phishing via e-mail, hanno il tempo di riflettere prima di farsi convincere a cliccare determinati link, o a credere nella legittimità di un certo contenuto Web.

Al telefono le cose cambiano. La quotidiana attività lavorativa e momenti intensi delle giornate, fanno sì che la nostra attenzione, al contenuto di una telefonata, cali drasticamente e un dialogo realistico e dal carattere di urgenza, possa trasportarci senza problemi, nel covo della vipera.

Come avviene un attacco di vishing

Secondo i dati raccolti da Kaspersky, parte tutto dalla ricezione di una e-mail di phishing, ad esempio sfruttando noti marchi del commercio o dei servizi di pagamento elettronico.

I numeri raccolti sono tutt’altro che confortanti. Lo studio Kaspersky ha contato 35mila messaggi fraudolenti, nei quattro mesi da marzo a giugno 2022. Con un netto incremento in divenire che ha visto per il solo mese di giugno, quasi 100.000 messaggi di phishing utili ad attacchi di vishing.

Queste e-mail, che simulano graficamente il servizio preso di mira, riportano all’utente, piuttosto che un link da cliccare, un numero di assistenza clienti da contattare con carattere di urgenza, cercando di convincere la vittima appunto su questa urgenza improrogabile.

Sfruttando come abbiamo visto, la sintesi vocale, si emula, dall’altro capo della cornetta, una voce guida registrata di un normale contact center e il più delle volte i criminali (ma anche gli autori degli scherzi telefonici su TikTok) “si presentano come rappresentanti del servizio clienti di un grande negozio online per comunicare di aver ricevuto dalla vittima un ordine di diverse migliaia di dollari e chiedere la conferma. Indipendentemente dalla risposta dell’utente, il messaggio successivo della segreteria telefonica reciterà: Grazie, il suo ordine è stato confermato.

Come evitare di diventare vittime di vishing

Anche solo da una semplice supervisione dei video degli scherzi telefonici su TikTok, possiamo notare quante siano le persone disposte a rispondere alla “voce guida” dall’altro capo del telefono, con i corretti dati personali e bancari. Questo è un chiaro segnale di quanto l’argomento sia sensibile, se la viralità di questa attività, venisse detenuta dai criminali informatici (e sta accadendo realmente, purtroppo).

Gli strumenti di difesa per questo genere di attacchi, sono le solite buone pratiche di igiene digitale già note anche per il phishing. Considerando che tutto parte quasi sempre da una e-mail, impariamo a saper riconoscere una e-mail fraudolenta e non legittima, dall’originale dello stesso marchio che siamo abituati a ricevere. Non basiamoci solo sul nome mittente che leggiamo in prima battuta, ma entriamo nel merito di quale indirizzo ha effettivamente inviato tale messaggio che abbiamo davanti. Nella maggior parte dei casi sono nomi di fantasia, ben lontani dal semplice dominio del servizio che stanno impersonando.

A questo è sempre bene ricordare che nessuna azienda legittima contatterà o si farà contattare per scambiare vocalmente al telefono, dati bancari e dati personali per risolvere un certo problema. Piuttosto verificare direttamente sul sito del servizio in questione se il problema urgente menzionato esiste realmente o meno.

Infine diffidiamo da tutte le richieste con carattere di urgenza. Azioni che devono essere svolte nell’immediatezza portano quasi sempre a non riflettere su quello che si sta facendo, senza avere contezza della gravità di certe azioni sbagliate. Ogni richiesta, anche le più urgenti, vanno analizzate senza fretta e gestendole con tutte le verifiche del caso, di una normale richiesta da un nostro fornitore. Verifichiamone sempre l’attendibilità.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5