Phishing, smishing, vishing, scamming: di che cosa si tratta e come prevenirli

Il phishing ormai si sa, è il vecchio metodo della truffa via email, tutt’ora molto utilizzato per adescare le vittime attraverso la diffusione di malware, la sottrazione di dati, credenziali o di informazioni sensibili per raggiungere altri scopi. In questo mondo variegato, che non sembra conoscere battute d’arresto, si sono di recente affacciate altre due varianti di phishing che utilizzano due canali diversi, con le stesse finalità. Si tratta di smishing e vishing.

Lo smishing, deriva da Sms phishing è un tipo di attacco che utilizza, appunto, gli Sms sempre con lo scopo di sottrarre i dati e informazioni personali dell’utente, come per esempio la data e il luogo di nascita, la residenza, per compiere ulteriori azioni criminali. Questi schemi sono inoltre un metodo per ottenere conti correnti “ignari” da utilizzare per riciclare denaro. Il tutto avviene attraverso un sms contenente un link che reindirizza l’utente su una landing page allestita per raccogliere informazioni personali.

Per vishing, si intende il voice phishing, ovvero un tipo di criminal scamming che utilizza messaggi vocali preregistrati per ottenere informazioni personali e soldi dando un tono ufficiale alla transazione illegale. Un esempio tipico è la chiamata automatica che avvisa della violazione del proprio conto corrente, chiedendo di chiamare un apposito numero verde che, non appena contattato, comincia a loggare i dettagli dell’account bancario attraverso il keypad del telefono.

Smishing e vishing sono entrambi fenomeni in rapida espansione che acquisiscono via via livelli di sofisticazione maggiori con l’esperienza dei truffatori. I criminal hacker giocano attivamente sulle emozioni delle persone e dei consumatori dei ruoli aziendali per rubare le informazioni sensibili senza che le vittime ne siano consapevoli.

Le soluzioni da adottare per ridurre il rischio di phishing

Seguire qualche semplice regola ed eseguire il Phishing Human Risk Checkup in azienda è fondamentale.  Prevenire e ridurre il rischio è una questione di formazione quasi quanto più che di strumenti.

• Test: tramite una simulazione in azienda, viene identificato e misurato il livello di rischio phishing e rischio fattore umano;
• Formazione: In base al risultato della fase di test, viene condotta un’attività di formazione con lo scopo di indicare come funzionano gli attacchi di phishing, le tattiche utilizzate dagli hacker e come riconoscere ed evitare un attacco di phishing;
• Verifica: La seconda attività ha l’obiettivo di misurare la’apprendimento post-formazione e verificare se il rischio è ancora presente;