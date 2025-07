Nel mondo della cybersecurity, aggressori e difensori sono da tempo impegnati in una corsa agli armamenti. Gli aggressori identificano una vulnerabilità e la utilizzano. I difensori correggono la vulnerabilità e rafforzano le protezioni per prevenire attacchi simili in futuro. È un circolo vizioso.

Tuttavia, poiché le soluzioni di sicurezza diventano più avanzate e le pratiche di sicurezza più raffinate, gli hacker hanno sempre più difficoltà a trovare punti deboli di cui approfittare.

In risposta, molti aggressori hanno rivolto la propria attenzione a obiettivi meno riparabili, ovvero le persone.

Secondo l'IBM X-Force Threat Intelligence Index, phishing e compromissione degli account degli utenti sono due dei tre modi più comuni con cui i criminali informatici entrano ora nelle reti aziendali.

Compromettendo gli account legittimi, gli aggressori possono fingersi utenti reali, aggirando molte misure di sicurezza mentre si spostano lateralmente e aumentano i privilegi.

Mentre le e-mail e i messaggi di testo erano una volta le modalità predefinite dei phisher di tutto il mondo, nell'era dei filtri antispam avanzati questi metodi danno molte meno soddisfazioni, .

Le telefonate sono un'altra storia.

"Se si osservano molte delle principali violazioni dei dati, ci si accorge che è stata una telefonata a dare il via alla violazione", afferma Carruthers. "Qualcuno che si spacciava per un dipendente ha chiamato l'help desk per reimpostare la password di un account. Ora hanno il controllo di quell'account e possono entrare in molti sistemi".

I provider di servizi hanno implementato filtri per le chiamate spam, al fine di combattere le truffe telefoniche, tuttavia questi filtri non sono affidabili come quelli per e-mail e testi.

Inoltre, grazie alla popolarità dei programmi BYOD (Bring Your Own Device), i dipendenti utilizzano spesso smartphone personali per le attività aziendali. Le organizzazioni hanno spesso molto meno controllo sulla sicurezza di questi dispositivi rispetto agli account di e-mail aziendali, ad esempio.

La cosa più pericolosa del vishing è forse il fatto che, quando la vittima risponde a una chiamata, c'è poco che chiunque altro possa fare per intervenire.

Una conversazione telefonica non offre le opportunità di un esame approfondito come potrebbe fare un'e-mail. I truffatori sfruttano questo fatto a proprio vantaggio, aumentando il senso di urgenza e bombardando la vittima con domande e informazioni. La vittima non ha tempo per riflettere e capire se tutto quadra.

Tutti questi fattori rendono il vishing estremamente efficace. Carruthers lo sa in prima persona, sia per il suo periodo come hacker, che in qualità di facilitatrice della Social Engineering Community Vishing Competition (SECVC) al DEF CON.

La competizione mette 14 squadre l'una contro l'altra per vedere chi riesce a completare il maggior numero di obiettivi durante una chiamata di vishing dal vivo, effettuata da uno stand insonorizzato davanti a un pubblico.

"Lo scopo non è quello di dire: 'Guarda quanto siamo bravi con l'ingegneria sociale, bensì è quello di dimostrare quanto sia diffusa l'ingegneria sociale e come avvenga realmente. Molte persone pensano che riguardi solo l'e-mail, ma si dimenticano delle telefonate e di quanto riescano ad andare a segno," spiega Carruthers.

Nella competizione più recente, dice Carruthers, ogni squadra ha raggiunto almeno alcuni dei suoi obiettivi, il che significa che ha estratto un certo tipo di informazioni o ha spinto le persone a intraprendere azioni rischiose.

In altre parole: le truffe di vishing sembrano sempre ottenere qualcosa dalle loro vittime. Nessuna contromisura è perfetta.

In qualità di membro di X-Force, Carruthers ha aiutato molte organizzazioni ad aggiornare la formazione sulla consapevolezza. Secondo la sua esperienza, la maggior parte dei programmi di formazione non copre affatto le truffe di vishing. Quando lo fanno, si limitano a consigli di alto livello come: "Non fornire la tua password al telefono".

"Abbiamo dei trucchi per aggirare questo problema", afferma Carruthers. "Non ti chiederò la password al telefono, ma ti dirò di andare su questo sito web e di inserire il tuo nome utente e la tua password. Non dare a me la password: non è sicuro".

Certo, è un sito web controllato da Carruthers o, peggio ancora, da un vero criminale informatico, e ora possiedono le tue credenziali.