Cos'è il vishing?

Come funziona il vishing: tecniche e tattiche 

Gli attacchi di vishing stanno diventando sempre più sofisticati sfruttando sia la tecnologia sia l'ingegneria sociale per far leva sulle vulnerabilità umane. Di seguito, sono riportate alcune delle tecniche e tattiche più comuni utilizzate dai criminali informatici per lanciare attacchi di vishing:

Falsificazione dell'ID chiamante 

Gli aggressori manipolano i sistemi di telecomunicazione per falsificare le informazioni relative all'ID chiamante, facendo sembrare che la chiamata provenga da una fonte attendibile, come una banca, un'agenzia governativa o persino un collega. Questa tattica induce la vittima ad abbassare la guardia, in quanto l'interazione appare credibile. Di conseguenza, i metodi di autenticazione tradizionali basati sull'ID chiamante sono sempre meno affidabili; questo evidenzia la necessità di mettere in atto misure di verifica dell'identità più avanzate.

Pretexting 

Nel pretexting, l'aggressore inventa uno scenario credibile, o "pretesto", per convincere la vittima a rivelare informazioni sensibili. Potrebbe trattarsi di un falso avviso di frode bancaria o di una presunta chiamata da un servizio clienti che richiede la verifica dell'account. Il successo del pretexting dipende in larga misura dalla capacità dell'aggressore di creare un senso di urgenza o di autorità, spingendo la vittima ad agire senza mettere in discussione la situazione. L'analisi comportamentale basata sull'AI può aiutare a identificare questi segnali di ingegneria sociale prima che si trasformino in violazioni.

Sfruttamento del VoIP 

I sistemi Voice over Internet Protocol (VoIP) hanno reso più semplice ed economico per gli aggressori effettuare grandi volumi di chiamate da qualsiasi parte del mondo. I servizi VoIP sono spesso meno sicuri delle linee telefoniche tradizionali; questo li rende un bersaglio ideale per i criminali informatici che vogliono mascherare la propria identità e posizione. Gli aggressori possono utilizzare l'AI per automatizzare e ampliare queste operazioni, aumentando la velocità e la portata delle loro campagne. Proteggere le comunicazioni VoIP è fondamentale per ridurre la superficie di attacco negli incidenti di vishing.

Attacchi di risposta vocale interattiva (IVR) 

I sistemi di risposta vocale interattiva (Interactive Voice Response, IVR) sono sistemi automatizzati che interagiscono con gli utenti tramite input vocali o tastiera. Essi vengono utilizzati molto frequentemente dalle aziende per vari scopi, dall'assistenza ai clienti all'accesso sicuro agli account. Gli attacchi di vishing possono colpire questi sistemi inducendo gli utenti a inserire informazioni sensibili, come PIN o password, tramite un'interfaccia IVR compromessa o fraudolenta. I meccanismi avanzati di rilevamento delle minacce possono riuscire a monitorare i pattern insoliti nelle interazioni IVR per aiutare a identificare e mitigare queste minacce in tempo reale.

Attacchi di phishing basati sull'AI

L'intelligenza artificiale (AI) è sempre più utilizzata nel mondo degli attacchi informatici, in quanto favorisce l'impiego di tecniche sempre più sofisticate in grado di ingannare anche gli utenti più attenti. Nel campo del phishing, l'AI amplifica la capacità degli aggressori di scalare, personalizzare e manipolare i propri obiettivi, rendendo il vishing sempre più pericoloso.

Clonazione vocale

La clonazione vocale basata sull'AI è una svolta negli attacchi di vishing. Oggi, infatti, i criminali informatici riescono a replicare la voce di una persona fidata, come un dirigente aziendale o un familiare, utilizzando solo pochi minuti di audio registrato. Grazie a questa tecnologia, gli aggressori possono rendere i loro tentativi di vishing molto più convincenti e indurre le vittime a divulgare informazioni sensibili o ad autorizzare transazioni fraudolente.

Videochiamate con deepfake

Oltre alla semplice manipolazione vocale, l'AI consente inoltre di creare videochiamate sfruttando il deepfake, in cui gli aggressori impersonano qualcuno in tempo reale. Questi attacchi di vishing basati su video sono particolarmente efficaci negli ambienti di lavoro da remoto, dove spesso si fa affidamento sulle interazioni visive, in particolare durante le riunioni virtuali, per instaurare fiducia. Imitando l'aspetto e la voce di un individuo noto, gli aggressori riescono a orchestrare schemi di ingegneria sociale altamente convincenti.

Chiamate automatiche

Le chiamate automatiche basate sull'AI, o robocall, si sono evolute da semplici messaggi automatizzati a interazioni dinamiche che imitano la conversazione umana. Utilizzando l'elaborazione del linguaggio naturale (Natural Language Processing, NLP), queste chiamate sono in grado di rispondere in modo intelligente agli input delle vittime, rendendo l'interazione più autentica. Ciò consente agli aggressori di estendere i propri tentativi di vishing, raggiungendo centinaia o addirittura migliaia di potenziali vittime in breve tempo.

Data mining basato sull'AI per il vishing mirato

L'AI è in grado di analizzare enormi quantitativi di dati pubblici, come profili social, siti web aziendali e database divulgati, per lanciare attacchi di vishing altamente mirati. Sviluppando profili dettagliati delle potenziali vittime, i criminali informatici possono elaborare tentativi di vishing personalizzati che appaiono credibili e rilevanti, accrescendo in questo modo le probabilità di successo. Il risultato è un attacco molto più mirato che sfrutta le circostanze o le relazioni specifiche della vittima. 

Con l'evoluzione continua dell'AI, aumentano anche le minacce poste da queste tecniche avanzate di vishing. Le organizzazioni devono essere sempre all'avanguardia e adottare soluzioni di sicurezza basate sull'AI in grado di rilevare e contrastare questi rischi emergenti.

Con la conoscenza di queste tecniche, le organizzazioni possono prevedere e mitigare al meglio i rischi associati al vishing, le cui tecniche si evolvono continuamente.

Perché il vishing è una minaccia crescente?

Il vishing è una tecnica sempre più diffusa per via del crescente livello di sofisticatezza dei criminali informatici e della diffusa dipendenza dalle comunicazioni mobili. Gli aggressori sfruttano tattiche avanzate di ingegneria sociale per far leva sulle vulnerabilità umane, spesso riuscendo ad aggirare le misure di sicurezza tradizionali. Dato che oggi le persone sono sempre più connesse, soprattutto con la diffusione del lavoro da remoto, i truffatori trovano continuamente nuove opportunità per manipolare gli individui e indurli a rivelare informazioni sensibili al telefono. 

Inoltre, l'accessibilità dei dati personali sul web ha permesso agli utenti malintenzionati di mettere in atto tentativi di vishing mirati e altamente convincenti. I criminali informatici ora possono raccogliere con facilità quantitativi di dati personali sufficienti a simulare la legittimità di un'attività e rendere molto più difficile, anche per i più attenti, l'individuazione di una truffa. Con l'evoluzione dell'intelligenza artificiale, gli aggressori stessi utilizzano strumenti di machine learning e sintesi vocale che creano imitazioni ancora più realistiche di entità fidate, intensificando ulteriormente i rischi sia per le organizzazioni che per le persone. Infatti, nel corso dell'ultimo anno, gli attacchi di phishing basati sull'AI (incluso il vishing) sono aumentati del 60%.

Esempi dal mondo reale

Le campagne di vishing sofisticate si stanno diffondendo in tutto il mondo, e i criminali informatici utilizzano psicologia e tecnologia per rubare milioni di dollari anche alle vittime più esperte. Ad esempio, la Corea del Sud ha registrato un aumento importante degli attacchi di vishing, e ad agosto 2022 si è verificato un caso in cui un medico ha perso 3 milioni di dollari in contanti, assicurazioni, azioni e criptovaluta. In questo caso, i truffatori si sono spacciati per funzionari delle forze dell'ordine regionali della Corea del Sud. Tuttavia, non serve andare così lontano: ThreatLabz ha osservato (e contrastato) un attacco di vishing molto vicino a casa nel 2023.

In un altro esempio, un dipendente finanziario di Hong Kong ha pagato 25 milioni di dollari dopo una videoconferenza con un "responsabile finanziario" fittizio impersonato tramite deepfake. L'aggressore ha ingannato il dipendente inducendolo a partecipare a una videochiamata con quelli che lui credeva fossero altri membri del personale, ma che in realtà erano riproduzioni deepfake.

Nell'estate del 2023, gli aggressori hanno impersonato il CEO di Zscaler, Jay Chaudhry, in un attacco di vishing basato sull'AI. Ecco come si è svolto l'attacco:

1. L'aggressore ha chiamato un dipendente di Zscaler su WhatsApp.
2. Utilizzando la clonazione vocale generata dall'intelligenza artificiale per simulare la voce di Jay, l'aggressore ha stabilito la comunicazione e poi ha riattaccato rapidamente per evitare un'interazione prolungata e una potenziale esposizione.
3. L'aggressore ha immediatamente inviato un messaggio di testo, fingendosi Jay, in cui affermava di avere "una scarsa copertura di rete".
4. Tramite un messaggio su WhatsApp, l'aggressore ha incaricato il dipendente di Zscaler di acquistare carte regalo per un determinato importo.
5. Il dipendente lo ha ritenuto sospetto e lo ha immediatamente segnalato al team di sicurezza.
6. I ricercatori di ThreatLabz hanno indagato e scoperto che faceva parte di una campagna diffusa rivolta a diverse aziende tecnologiche.

Per combattere efficacemente questa crescente minaccia, la sicurezza informatica deve evolversi e spingersi oltre le difese tradizionali. I sistemi basati sull'AI, in grado di rilevare pattern sospetti in tempo reale e di valutare il rischio in modo granulare, stanno diventando essenziali. Integrando funzionalità avanzate per la gestione del rischio, le organizzazioni possono proteggere al meglio sé stesse e i propri dipendenti dal rischio di cadere vittime di schemi di vishing sempre più sofisticati.

Scenari di vishing comuni

Gli attacchi di vishing possono assumere diverse forme, ciascuna delle quali è concepita per sfruttare la fiducia e convincere le vittime a condividere informazioni sensibili. Ecco alcune delle tattiche più comuni utilizzate dai criminali informatici: 

• Truffe bancarie: i chiamanti si spacciano per rappresentanti della banca che informano la vittima di una compromissione del conto, facendo pressione affinché questa fornisca i propri dati personali o addirittura trasferisca i fondi su un conto "sicuro".
• Truffe del supporto tecnico: i truffatori si spacciano per operatori del supporto tecnico di aziende fidate, avvisando della presenza di malware sul dispositivo e richiedendo l'accesso da remoto per "risolvere" il problema, ma in realtà si tratta solo di uno stratagemma per rubare i dati o installare software dannosi.
• Truffe del fisco: gli aggressori affermano di lavorare per il fisco e minacciano l'arresto o azioni legali se non si paga una cartella esattoriale in sospeso, spesso tramite metodi non tracciabili, come carte regalo o bonifici bancari.
• Truffa del CEO (compromissione delle e-mail aziendali): i criminali informatici prendono di mira i dipendenti impersonando dirigenti senior e inducendoli a effettuare bonifici urgenti o a divulgare informazioni aziendali riservate, spesso con il pretesto di un'emergenza da risolvere con urgenza.

Vishing, smishing e phishing a confronto

Sebbene tutti e tre (vishing, phishing e smishing) siano tipi di attacchi di ingegneria sociale concepiti per manipolare le vittime e indurle a divulgare informazioni sensibili, essi differiscono tra loro principalmente per i metodi di distribuzione e le tattiche specifiche utilizzate per far leva sulla fiducia umana. Comprendere queste distinzioni è fondamentale per sviluppare una strategia di sicurezza solida e proattiva mentre i criminali informatici continuano a far evolvere le proprie tecniche. 

Phishing

Il phishing, probabilmente il più noto dei tre, comporta in genere l'invio di e-mail fraudolente che impersonano entità legittime, come aziende, agenzie governative o persone fidate. L'obiettivo degli attacchi di phishing è solitamente quello di rubare credenziali di accesso, informazioni finanziarie o altri dati sensibili. 

Spesso il phishing fa leva sul senso di urgenza o di paura, spingendo la vittima a fare clic su link dannosi o a scaricare allegati infetti. Dato che la posta elettronica resta uno degli strumenti di comunicazione primari sia nei contesti personali che professionali, gli attacchi di phishing hanno una portata molto estesa e possono essere devastanti se non vengono individuati in tempo.

Lo smishing

Lo smishing è un'evoluzione più recente del phishing che prende di mira gli individui tramite SMS o messaggi di testo. Come le e-mail di phishing, i messaggi di smishing spesso sembrano provenire da fonti attendibili, come banche, servizi di spedizione o persino colleghi, e solitamente includono un link dannoso o la richiesta di condividere dati sensibili. 

Questo metodo è particolarmente pericoloso perché sfrutta l'immediatezza e la natura informale dei messaggi di testo, per cui è più probabile che gli utenti rispondano rapidamente e senza troppi sospetti. Data l'ubiquità degli smartphone e la crescente dipendenza dalle comunicazioni SMS, gli attacchi di smishing sono in rapido aumento.

Vishing

Come definito in precedenza in questo articolo, il vishing sfrutta la comunicazione vocale, solitamente tramite telefonate, per manipolare le vittime. Gli aggressori possono impersonare, tramite testo o tecnologia di clonazione vocale basata sull'AI, figure autorevoli, come funzionari delle imposte, rappresentanti dell'assistenza tecnica o persino familiari in difficoltà. 

Il loro obiettivo è spesso lo stesso del phishing e dello smishing: estorcere informazioni sensibili come password o numeri di carte di credito oppure convincere la vittima a compiere azioni specifiche, come il trasferimento di fondi. Il vishing ha però l'ulteriore vantaggio di sfruttare direttamente la psicologia umana attraverso l'impiego di conversazioni in tempo reale, rendendo molto più difficile per le vittime fermarsi e valutare la situazione in modo critico.

Le differenze principali nei vettori e nelle tattiche di attacco

Il phishing avviene prevalentemente tramite posta elettronica, e questo lo rende una forma scritta di inganno. Gli aggressori spesso usano modelli di e-mail e loghi ben realizzati per imitare organizzazioni legittime. Le e-mail contengono solitamente link o allegati dannosi che sfruttano le vulnerabilità presenti nel sistema della vittima al clic o al download.

Lo smishing usa gli SMS, un mezzo noto per la brevità e istantaneità. Spesso i messaggi contengono URL abbreviati per mascherare link dannosi, in modo che gli utenti siano più propensi a fidarsi data la natura personale dei dispositivi mobili.

Il vishing si basa sull'interazione vocale, e per questo può aggiungere un livello di pressione o manipolazione emotiva che non è facilmente trasmissibile tramite messaggi di testo. Gli aggressori potrebbero ricorrere a tattiche come lo "spoofing" dei numeri di telefono per far sembrare che la chiamata provenga da una fonte legittima, come un'agenzia governativa o un ente noto.

Le persone e le organizzazioni possono proteggersi dal vishing?

Gli attacchi di vishing stanno diventando sempre più sofisticati, ma ci sono misure ben precise che le organizzazioni possono adottare per mitigare il rischio. L'implementazione delle giuste strategie può aiutare a proteggere sia le informazioni personali che quelle aziendali dalle minacce di phishing basate sulla voce.

Formazione per aumentare la consapevolezza sulla sicurezza informatica 

È fondamentale informare e istruire regolarmente i dipendenti sulle tattiche di vishing. I programmi di formazione completi possono insegnare al personale a riconoscere i segnali di allarme, come chiamate indesiderate, tattiche che fanno leva sulla pressione o richieste di informazioni sensibili. La consapevolezza è la prima linea di difesa per evitare che gli attacchi vadano a buon fine.

Procedure per l'autenticazione del chiamante 

L'implementazione di procedure rigorose per l'autenticazione del chiamante può ridurre la probabilità di cadere vittime del vishing. È necessario assicurarsi che i dipendenti seguano tutti i protocolli di verifica, come richiamare i numeri ufficiali e utilizzare l'autenticazione a più fattori (MFA), per confermare l'identità del chiamante prima di condividere informazioni sensibili.

Utilizzo della tecnologia antispam 

Si tratta di tecnologie antispam e di filtraggio delle chiamate basate sull'AI che consentono di bloccare le chiamate sospette o indesiderate prima che raggiungano il team. Questi strumenti sono in grado di analizzare vari pattern e rilevare i potenziali tentativi di phishing, offrendo un ulteriore livello di protezione contro gli attacchi di vishing.

Piani di risposta agli incidenti 

Disporre di un piano solido di risposta agli incidenti è essenziale per ridurre al minimo i danni nel caso in cui un attacco di vishing dovesse sfuggire al controllo. È bene assicurarsi che l'organizzazione disponga di protocolli chiari per segnalare le chiamate sospette e indagare sulle potenziali violazioni, in modo da poter intervenire rapidamente per contenere eventuali minacce.

Sicurezza basata sull'AI e intelligence sulle minacce 

L'integrazione di soluzioni di sicurezza basate sull'AI può migliorare la capacità dell'organizzazione di rilevare le campagne di vishing e di rispondervi in tempo reale. Con l'intelligence sulle minacce, questi sistemi sono in grado di identificare i metodi di vishing emergenti e di implementare difese proattive che si evolvono con l'evolversi del panorama delle minacce.

Uno sguardo al futuro: l'importanza di un approccio zero trust a più livelli 

Phishing, smishing e vishing sfruttano l'anello più debole della sicurezza informatica: il comportamento umano. Per combattere efficacemente queste minacce, le organizzazioni devono adottare un approccio zero trust e partire dal presupposto che nessuna comunicazione, piattaforma o utente sia da considerare automaticamente attendibile. 

Questo cambiamento di paradigma richiede una strategia di difesa multilivello che integri il monitoraggio basato sull'AI, l'autenticazione continua e la protezione degli endpoint. Combinando la formazione degli utenti con tecnologie all'avanguardia, le organizzazioni possono anticipare gli aggressori e ridurre significativamente il rischio di cadere vittime dell'ingegneria sociale. 

Con l'evolversi di queste tattiche dannose, devono evolversi anche le difese, per garantire che ogni e-mail, messaggio di testo e telefonata venga esaminato con lo stesso livello di diligenza e scetticismo. Sebbene phishing, smishing e vishing presentino sfide diverse, una strategia di sicurezza unificata e potenziata dall'AI può aiutare ad attenuare i rischi posti da tutte e tre queste minacce e a favorire lo sviluppo di un ambiente digitale più resiliente e sicuro.

Cosa può fare Zscaler

Per difendersi efficacemente da questo panorama di minacce in evoluzione, le organizzazioni devono integrare controlli avanzati di prevenzione del phishing nelle proprie strategie zero trust. In prima linea in questa strategia di difesa c'è Zscaler Zero Trust Exchange™, una soluzione costruita su una solida architettura zero trust.

Adottando un approccio globale alla sicurezza informatica, Zero Trust Exchange contrasta efficacemente gli attacchi di phishing convenzionali e quelli basati sull'AI in più fasi della catena di attacco con:

Prevenzione del phishing con l'AI

I modelli di intelligenza artificiale di Zscaler rilevano siti di phishing noti e da paziente zero per prevenire il furto di credenziali e lo sfruttamento del browser; inoltre, analizzano modelli di traffico, comportamenti e malware per individuare infrastrutture di comando e controllo (C2) sconosciute in tempo reale.

Difesa con sandboxing dei file basato sull'IA 

La soluzione inline Zscaler Sandbox, basata sull'AI, rileva istantaneamente i file dannosi preservando al contempo la produttività dei dipendenti. La nostra tecnologia AI Instant Verdict identifica, mette in quarantena e previene istantaneamente e con un'elevata affidabilità i danni relativi ai file dannosi, tra cui le minacce 0-day, eliminando la necessità di attendere la relativa analisi.

L'AI per bloccare le minacce web 

Zscaler Browser Isolation, basato sull'intelligenza artificiale, blocca le minacce zero-day garantendo al contempo ai dipendenti l'accesso ai siti corretti per lo svolgimento del proprio lavoro. Il nostro strumento AI Smart Isolation è in grado di identificare quando un sito può essere rischioso e di aprirlo in isolamento, trasmettendolo sotto forma di pixel in un ambiente sicuro e isolato.

Vuoi vedere la potente difesa antiphishing di Zscaler in azione? Prenota una dimostrazione personalizzata con uno dei nostri esperti e scopri il modo Zscaler può proteggerti dalle minacce più avanzate basate sull'AI.

Dai un'occhiata alle previsioni sulla sicurezza informatica del 2025 e scopri perché il vishing potrebbe essere in aumento.