La traduzione letterale di “wishing” dall’inglese è “desiderando”, da desiderio, ma nell’accezione informatica-truffaldina sta a indicare i tentativi di carpire, da parte di malintenzionati, informazioni e dati sensibili al fine di accedere ai beni di coloro che cascano nella rete: conti correnti, carte di credito o di debito, eccetera.
Il wishing (o phishing vocale) è una truffa che usa prevalentemente il telefono come strumento per appropriarsi dei dati della vittima, in genere di natura bancaria, con il fine di sottrarre somme di denaro.
Il telefono squilla, il mal capitato risponde e scatta la truffa.
Si chiama così o anche phishing vocale, la truffa che viaggia sul filo del telefono.
Il suo significato nasce dall’unione di due parole inglesi: voice (voce) e phishing (truffa informatica), e si sostanzia in una forma di tentativo di truffa, sempre più diffusa, che usa appunto il telefono quale strumento per appropriarsi di dati personali, in genere di natura bancaria, al fine di sottrarre somme di denaro al malcapitato.
Tutto comincia, di solito, con una chiamata telefonica da parte di finti operatori che si presentano come dipendenti di banche o società che gestiscono bancomat o carte di credito, i quali, con la scusa di presunte anomalie o tentativi di truffa, chiedono di fornire tutta una serie di informazioni personali (ad esempio pin, numero carta o codice di sicurezza, codice conferma Opt,) in modo da poter mettere in campo le necessarie procedure di sicurezza.
A volte i truffatori inviano anche dei link per accedere a form (pagine web) dove è richiesto di inserire i dati, o ancora, chiedono di scaricare e installare applicazioni e programmi che ufficialmente dovrebbero servire a proteggere i conti, ma che in realtà operano come virus (trojan, si pensi al cavallo di Troia, ndr) in grado di carpire i dati personali o di accedere alle applicazioni con cui si gestiscono internet banking e carte di credito.
Altre volte, invece, i truffatori si fingono impiegati di società di software che chiamano per segnalare un problema, o di un ufficio pubblico per imposte o multe non pagate, ovvero impiegati di società che comunicano alle vittime che hanno diritto a un premio a patto di fornire determinate informazioni personali.
Insomma le modalità sono le più varie e, seppur apparentemente banali, funzionano, soprattutto nei confronti delle vittime più anziane.
All’estensore di questo articolo è capitato, pochi giorni fa, di ricevere un messaggio, tramite posta elettronica, da Lidl, col quale veniva offerto gratis un piccolo elettrodomestico, del valore di circa 100,00 €.
Ovviamente veniva richiesta una serie di notizie, quali l’indirizzo dove spedirlo, il n.ro di cellulare, elementi relativi alla ubicazione della abitazione, e fin qui tutto bene.
Ma alla fine venivano chiesti 2,00 € per spese varie, per pagare le quali era necessario fornire l’iban del conto sul quale addebitarli.
Questo era l’elemento della truffa: infatti l’iban è il codice di 16 cifre che indica la banca e il conto, venuto in possesso del quale il truffatore ha libero accesso al conto; ed è a questo punto che abbiamo sospettato la truffa e telefonando a Lidl, lo ha confermato.
Il messaggio è stato ripetuto anche a nome di altre primarie catene di grande distribuzione.
Il vishing è pericoloso proprio perché fa leva o sul timore legato ad un rischio incombente tale da convincere le vittime ad abbassare il livello di prudenza e a reagire in modo impulsivo, o perché invoglia a venire in possesso di un oggetto di un certo costo, ma offerto in omaggio.
Si tratta di una particolare forma di ingegneria sociale (*) che si dimostra efficace e il danno a volte può essere molto ingente, perché prima che la vittima si accorga delle sottrazioni di denaro può passare diverso tempo, e, intanto, i truffatori possono effettuare molti prelevi e transazioni.
Come difendersi?
Ad offrire una serie di suggerimenti per proteggersi dal phishing telefonico, e dai truffatori informatici in genere, è il Garante della Privacy, con una scheda informativa ad hoc in cui viene spiegato perché il vishing può essere molto pericoloso e come imparare a riconoscerlo e difendersi.
Innanzitutto è necessario prestare attenzione agli indizi che possono indurre a sospettare che dietro la chiamata ci sia un possibile tentativo di truffa.
Ad esempio:
- istituzioni e aziende chiamano in genere da numeri fissi e non da numeri anonimi, da cellulare o con prefissi stranieri;
- un atteggiamento intimidatorio da parte dell’interlocutore che minaccia sanzioni se non si compie subito una certa azione dovrebbe fare diffidare;
- amministrazioni pubbliche, banche e aziende fornitrici di carte di credito conoscono già determinate informazioni (numero di conto o numero della carta, ecc.) e non c’è bisogno che le richiedano.
Ad ogni modo, spiega il Garante, dati e informazioni personali, codici di accesso, PIN, password, dati bancari e della carta di credito non debbono essere comunicati a sconosciuti per nessuna ragione.
Inoltre, “se si ricevono mail o messaggi (anche in segreteria telefonica) che chiedono di richiamare determinati numeri di aziende o istituzioni, controllare sempre prima se tali numeri corrispondono a quelli ufficiali (ad esempio consultando i siti web ufficiali).
Per estrema sicurezza, invece di chiamare i numeri indicati nel messaggio, ci si può rivolgere al centralino o all’URP dell’azienda o dell’istituzione per farsi mettere in contatto con l’ufficio che dovrebbe aver inviato il messaggio.
Altra buona cautela è quella di evitare di richiamare numeri sconosciuti, soprattutto nel caso di telefonate mute con caduta immediata della linea e se la numerazione appare anomala.
Per proteggere conti bancari e carte di credito è bene, altresì, controllare spesso le movimentazioni e attivare sistemi di “alert” automatico che avvisano l’utente di ogni operazione effettuata.
Infine, se si ha il dubbio di essere stati o poter essere vittime di vishing, è consigliabile contattare immediatamente la banca o il gestore della carta di credito attraverso canali di comunicazione conosciuti e affidabili per segnalare e, in caso di sottrazione di denaro, richiedere il blocco delle transazioni.
In questa seconda ipotesi, è sempre opportuno denunciare la truffa subita alle autorità, anche per consentire alle stesse di inserire nei “data-base” nazionali dati e notizie che possono essere di aiuto a tutta la popolazione.
