Il vishing è una delle novità più rilevanti in tema di truffe, capace di raggirare migliaia di persone con espedienti molto semplici.
Di cosa si tratta? Come ci si può difendere?
Vediamo ogni dettaglio in questo articolo.
Indice dei contenuti
Cos’è il vishing?
Il vishing – o voice phishing – è un tipo di truffa in cui i malintenzionati, con una telefonata, si fingono operatori di una banca o di un istituto di credito e con l’inganno chiedono alle vittime di fornire informazioni sensibili e codici del proprio conto corrente o di eseguire attività da cui trarre un tornaconto.
I truffatori usano poi i dati ottenuti per accedere al conto e prelevare la cifra che desiderano.
È quindi una minaccia molto seria e particolarmente efficace perché fa leva sull’ingenuità e la buona fede delle persone.
C’è infatti ancora parecchia disinformazione sul tema e sono molte le persone tutt’ora ignare dell’esistenza di questo tipo di pericoli e delle loro modalità.
Basti pensare alle persone più anziane o con poca dimestichezza con la rete.
Questo tipo di attacco ha avuto una grossa crescita nel 2020, cominciando ad avere grossa risonanza anche in Italia dopo essersi ampiamente diffuso negli Stati Uniti.
Le truffe più comuni
Il vishing ha diverse sfumature e può identificare degli attacchi diversi tra loro ma con caratteristiche comuni.
Ecco i tre esempi più comuni di questo tipo di truffa:
- Furto di dati: il malintenzionato telefona alla vittima e, fingendosi un operatore di fiducia, chiede informazioni e dati sensibili come codici, password e pin della carta di credito. Spesso il truffatore conosce già il numero della carta di credito ottenuto per vie traverse, apparendo così affidabile e onesto.
Le telefonate possono essere preregistrate o in diretta e sfruttare diversi stratagemmi per indurre l’interlocutore a rivelare ciò che si desidera. - Furto di identità: in questo caso si fa leva su delle offerte interessanti, come prodotti in omaggio da spedire a casa, per ottenere informazioni sensibili quali indirizzo di casa o codice fiscale. In questo modo si riesce ad appropriarsi dell’identità della vittima e a sfruttarla per ottenere prestiti, dirottare bonifici, ricevere finanziamenti e molto altro.
- Contratti fraudolenti: i truffatori, spesso servendosi di call center terzi, inducono la vittima a pronunciare determinate frasi, che vengono registrate e poi utilizzate per stipulare contratti telefonici illegali ma validi.
Come funziona un tentativo di vishing
Come funziona nel concreto un tentativo di vishing? Ci sono delle procedure standard che i truffatori seguono?
Come prima cosa il malintenzionato chiama la vittima, usando un normale telefono o appoggiandosi a centralini VoIP con voce automatizzata o messaggi preregistrati.
Si presenta come una figura autorevole e di fiducia e inizia la conversazione esponendo un problema o un’urgenza.
Un esempio può essere un problema riguardante il conto corrente o la carta di credito, ma è anche molto comune convincere la vittima di avere subito una truffa a sua insaputa e di avere ora la possibilità di rimediare, fornendo i dati dell’OTP o il codice di sicurezza CVV della carta.
A questo punto il truffatore comunica di avere già una soluzione al problema, facile e immediata, e chiede all’interlocutore tutti i dati di cui ha bisogno per potere risolvere la situazione in sicurezza.
Per indurre la vittima ad accettare senza pensarci troppo, viene spesso aggiunto un elemento di urgenza, facendo capire che bisogna agire in tempi rapidi prima che i danni diventino irreparabili.
Un particolare caso di vishing prevede invece di fingersi un membro dei Carabinieri e comunicare alla vittima che un parente è stato coinvolto in un piccolo incidente d’auto. Essendo questo sprovvisto di assicurazione RC Auto, si chiede all’interlocutore di provvedere a un bonifico intestato a una assicurazione fittizia per potere procedere al rapporto.
Come proteggersi
La prima cosa da ricordare è che le banche non chiedono mai dati sensibili via telefono: si tratta di informazioni estremamente confidenziali e per sicurezza e rispetto alla privacy non verranno ma chiesti con una telefonata, una email o un SMS.
In qualsiasi caso bisogna quindi sempre evitare di fornire dati personali al telefono, chiunque sia la persona dall’altra parte della cornetta.
Si sconsiglia inoltre di eseguire dei bonifici se non si ha la certezza dell’identità dell’intestatario.
Spesso il truffatore si spaccia per una società esistente, fornendo dati presi da Internet o ricavati in un altro modo. Per questo è utile segnarsi il nome dell’azienda che sta telefonando, cercare un contatto ufficiale e chiamare in un secondo momento per verificare la veridicità della telefonata precedente.
Anche nel caso in cui l’interlocutore dimostri di conoscere le credenziali della vittima, è comunque meglio stare all’erta, perché i dati personali sono purtroppo recuperabili dal Dark Web o con altri espedienti.
In generale, quindi, è bene mostrare sempre buon senso e diffidenza, facendo tutte le opportune verifiche in caso di dubbi o sospetti.
Cosa fare in caso di vishing
Nel caso in cui ci si accorga di avere subito un attacco vishing, il primo passo da fare è informare la propria banca e le Forze dell’Ordine, specificando quali informazioni sono state equivocamente comunicate.
È utile chiudere la telefonata il prima possibile e agire con tempestività per impedire che i truffatori possano nell’immediato sfruttare i dati ottenuti.
Nel caso in cui sia troppo tardi e i malintenzionati siano riusciti a sottrarre del denaro, può la vittima chiedere un rimborso?
In linea generale le banche tendono a negare il rimborso, declinando ogni responsabilità e sottolineando che ai clienti è sempre stato precisato che i codici operativi non devono mai, in nessun caso, essere condivisi.
L’Arbitro Bancario e Finanziario, però, negli ultimi anni si è schierato dalla parte dei consumatori, obbligando le banche a risarcire le vittime di quanto sottratto dai truffatori.
La motivazione è che il prelievo eseguito non è riconducibile alla volontà del cliente e le misure di tutela non sono state sufficienti. La responsabilità va quindi condivisa e la banca che non ha saputo garantire sicurezza è tenuta al rimborso.
Nel caso in cui la banca si rifiuti, è possibile rivolgersi alle associazioni di consumatori.
