🚨 Il regolamento NIS2 è ora in vigore. La sensibilizzazione alla sicurezza è ora un obbligo di legge nell'UE.

Verifica della conformità
Iniziare la prova gratuita
Torna al Centro risorse

Che cos’è il vishing? Come funziona il voice phishing e come proteggere la propria organizzazione

La maggior parte delle persone è stata istruita, o almeno messa in guardia, a diffidare delle e-mail che richiedono password, dati bancari o un intervento urgente. Gli autori degli attacchi lo sanno bene. Questo è in parte il motivo per cui il vishing ha acquisito maggiore diffusione: utilizza il telefono anziché l’e-mail per manipolare le vittime, sfruttando la fiducia e la pressione in tempo reale che una conversazione dal vivo genera. Comprendere cos’è il vishing, come funziona e perché è efficace è il primo passo per rendere i propri dipendenti immuni a questa minaccia.

Significato di "vishing": cosa indica questo termine?

Il termine “vishing” è un neologismo derivante dalla fusione dei termini “voice” e“phishing”. Indica attacchi di ingegneria sociale condotti per telefono, sia tramite chiamate tradizionali che tramite chiamate VoIP o, sempre più spesso, tramite messaggi vocali generati dall’intelligenza artificiale, con l’obiettivo di indurre la vittima a rivelare informazioni sensibili, a trasferire denaro o a concedere l’accesso ai sistemi.

Il significato del termine “vishing” è sostanzialmente lo stesso del “phishing”: indurre qualcuno con l’inganno a compiere un’azione che non compirebbe se comprendesse cosa sta realmente accadendo. La differenza sta nel canale utilizzato. Mentre il phishing si avvale delle e-mail e lo smishing degli SMS, il vishing utilizza la voce, che trasmette un senso di legittimità che il testo scritto non possiede.

Chi chiama, se si mostra sicuro di sé, usa la terminologia corretta e crea uno scenario plausibile — ad esempio un controllo di sicurezza da parte della banca, una chiamata all’help desk informatico o un fornitore che conferma i dettagli di pagamento — può convincere i dipendenti che, se avessero ricevuto la stessa richiesta via e-mail, l’avrebbero smascherata in pochi secondi.

Come funziona un attacco di vishing

Gli attacchi di vishing sono raramente casuali. In genere, gli autori degli attacchi effettuano ricerche sul proprio bersaglio prima di chiamare, utilizzando LinkedIn, i siti web aziendali, i dati provenienti da precedenti violazioni o le informazioni raccolte tramite precedenti tentativi di phishing. Maggiori sono le informazioni che un autore dell’attacco possiede sul bersaglio e sulla sua organizzazione, più convincente potrà risultare la chiamata.

Uno scenario tipico di vishing segue uno schema ben riconoscibile:

  1. Falsa identità. Chi chiama finge di essere una persona di cui la vittima ha motivo di fidarsi: un impiegato di banca, un tecnico dell’assistenza informatica, un funzionario dell’agenzia delle entrate, un collega di livello superiore o un fornitore.
  2. Urgenza o autorità. Chi chiama esercita pressione, sostenendo che c’è un problema da risolvere immediatamente, oppure invoca la propria autorità (“il tuo responsabile mi ha chiesto di chiamarti”). Questo aggirando l’istinto del destinatario di fermarsi un attimo e verificare.
  3. Richiesta. Chi chiama chiede qualcosa: una password, un codice monouso, la conferma delle coordinate bancarie, l'accesso a un sistema o un bonifico.
  4. Fine. Una volta ottenute le informazioni o compiuta l’azione, la chiamata termina rapidamente. Quando la vittima si rende conto che qualcosa non andava, il danno è ormai fatto.

Il vishing funziona perché è difficile applicare durante una conversazione telefonica dal vivo gli stessi filtri critici che si utilizzerebbero leggendo un’e-mail sospetta. La pressione sociale derivante da un’interazione in tempo reale ha la meglio sulla cautela, ed è proprio su questo che fanno affidamento gli aggressori.

Vishing, phishing e smishing: qual è la differenza?

Il vishing è una delle numerose tecniche di ingegneria sociale basate su chiamate e messaggi. Comprendere in che modo si differenziano aiuta le organizzazioni a formare i propri dipendenti affinché siano in grado di riconoscerle tutte.

Tecnica Canale Scenario comune Perché funziona
Phishing Email Pagina di accesso fasulla, avviso urgente relativo all'account Volume e illusione ottica
Vishing Telefono / voce Falsa telefonata da parte di una banca, truffa tramite l’usurpazione dell’identità del servizio di assistenza informatica Pressione in tempo reale, autorità vocale
Smishing SMS / app di messaggistica Avviso di consegna falso, link di pagamento Contesto mobile, formato conciso, i link risultano naturali
Lancia phishing E-mail (mirata) Email personalizzata utilizzando i dati in nostro possesso La specificità sembra credibile perché ti conosce

In pratica, queste tecniche vengono spesso combinate. Un malintenzionato potrebbe inviare prima un’e-mail di phishing, per poi seguire con una chiamata di vishing fingendo di essere un tecnico dell’assistenza IT in merito all’e-mail che il bersaglio ha appena ricevuto. Ciascun canale rafforza la credibilità dell’altro.

Il vishing nella pratica: scenari ricorrenti

Gli attacchi di vishing non sono minacce astratte. Si tratta di situazioni che le organizzazioni, comprese le aziende olandesi, si trovano ad affrontare regolarmente:

  • La chiamata all’helpdesk IT. Chi chiama sostiene di appartenere al supporto IT interno, afferma che sono state rilevate attività sospette sull’account del dipendente e chiede a quest’ultimo di confermare la propria password o di installare uno strumento di accesso remoto “per risolvere il problema”.
  • La telefonata di sicurezza da parte della banca. Un interlocutore che si spaccia per un addetto del dipartimento antifrode avverte che il conto corrente aziendale è stato compromesso e chiede alla vittima di confermare i dati del conto o di autorizzare un “bonifico di prova”.
  • La telefonata del CEO o del CFO. Conosciuta come “frode del CEO” o BEC (Business Email Compromise), questa truffa prevede che chi chiama si spacci per un alto dirigente e faccia pressione su un dipendente del reparto finanziario affinché effettui un bonifico urgente, spesso di venerdì pomeriggio.
  • La telefonata di conferma da parte del fornitore. Chi chiama sostiene di rappresentare un fornitore noto e chiede di aggiornare le coordinate bancarie per i pagamenti futuri, reindirizzando i pagamenti verso un conto controllato dall’autore dell’attacco.
  • La chiamata "deepfake" generata dall'intelligenza artificiale. Grazie alla tecnologia di clonazione vocale basata sull'intelligenza artificiale, gli hacker sono ora in grado di impersonare colleghi o dirigenti reali con una precisione sbalorditiva. I dipendenti ricevono una chiamata che sembra provenire proprio dal loro responsabile, in cui vengono richieste le credenziali di accesso o l'approvazione urgente di un pagamento.

In che modo la formazione sulla sicurezza informatica protegge dal vishing

I controlli tecnici non bastano a fermare il vishing. I filtri antispam, i firewall e gli strumenti di sicurezza degli endpoint sono inutili quando un hacker alza il telefono. L’unica difesa efficace è una forza lavoro in grado di riconoscere le tattiche di manipolazione e di sapere come comportarsi quando qualcosa non quadra.

Questo si ottiene attraverso la formazione: non con una presentazione una tantum, ma con una pratica costante che porta alla creazione di abitudini. Una formazione efficace sulla sicurezza contro il vishing comprende diversi aspetti:

  • Riconoscere i fattori scatenanti. Urgenza, tono autoritario, richieste insolite, richieste di aggirare le normali procedure. I dipendenti in grado di individuare questi schemi tendono a essere più restii a assecondarli.
  • Il diritto di verificare. I dipendenti devono sapere che è sempre lecito rispondere: «La richiamerò al numero che ho in archivio», anche se a chiamare è l’amministratore delegato. Per instaurare questa abitudine è necessario il permesso esplicito della direzione e un sostegno attraverso la formazione.
  • Cosa fare dopo. Se un dipendente sospetta di essere stato vittima di una chiamata di vishing o, peggio ancora, di avervi ceduto, deve poter contare su una procedura chiara per segnalare l'accaduto. La segnalazione dovrebbe essere considerata una pratica normale, non stigmatizzata.
  • Stare al passo con l’evoluzione delle tattiche. La clonazione vocale tramite IA, i deepfake e gli attacchi sempre più personalizzati fanno sì che il panorama delle minacce cambi rapidamente. La formazione deve tenere il passo, ed è per questo che sessioni brevi e frequenti sono più efficaci dei corsi di aggiornamento annuali.

Proteggi la tua squadra oggi stesso

I criminali informatici stanno chiamando. Il tuo team è pronto?

Richiedi una demo
Dinela Lokvancic
Dinela Lokvancic Specialista di marketing Dinela mantiene aggiornata la presenza online di Guardey. Crea contenuti che rendono accessibili argomenti complessi relativi alla sicurezza informatica e aiuta le organizzazioni a comprendere perché la formazione sulla consapevolezza della sicurezza è importante per i loro team.
PRONTO A INIZIARE?

Unisciti alle oltre 500 aziende che già proteggono i propri team con Guardey

Inizia la tua prova gratuita di 14 giorni
14 giorni gratis · Nessuna carta di credito richiesta · Accesso completo · Configurazione in 5 minuti
Oppure prenota una demo personalizzata