Una combinazione di ingegneria sociale e abuso di strumenti tecnologici permette di ottenere accesso non autorizzato a conti personali e finanziari.
Autore: Redazione SecurityOpenLab
Servizi legittimi di Apple e Google possono essere sfruttati nelle campagne di vishing per ingannare le vittime, sottrarre loro informazioni sensibili e ottenere l’accesso illecito ai loro conti correnti. È una tecnica usata da una prolifica banda di phishing vocale che combina ingegneria sociale e abuso di strumenti tecnologici, con particolare insistenza su servizi come Google Assistant e il supporto telefonico di Apple.
La cronistoria di un attacco è piuttosto semplice: i truffatori contattano la vittima tramite una chiamata vocale, spesso utilizzando tecniche di spoofing per far apparire il numero come legittimo. Durante la conversazione utilizzano informazioni ottenute in precedenza o dettagli pubblicamente disponibili (per esempio tramite social) per guadagnare la fiducia della vittima.
Durante l'interazione, i truffatori guidano la vittima attraverso vari passaggi per ottenere codici di verifica, password o altre informazioni sensibili. Possono anche indirizzare la vittima verso siti web di phishing che imitano le pagine di login ufficiali di Apple o Google per raccogliere le credenziali inserite.
Una volta stabilita la relazione fiducia, i truffatori possono inviare notifiche o email apparentemente legittime utilizzando servizi ufficiali. Per esempio, avviano una richiesta di recupero dell’account Google generando una notifica automatica sui dispositivi della vittima. Dato che la notifica proviene effettivamente da un dominio legittimo, la credibilità del messaggio è indiscutibile. In altri casi, sfruttano il sistema di supporto telefonico di Apple per inviare messaggi vocali automatizzati che sembrano autentici.
Le tecniche descritte sono molto diffuse, come si apprende da un articolo dettagliato che riepiloga le maggiori tendenze al riguardo e che sottolinea come tali strategie rappresentino una minaccia significativa sia per gli utenti privati che per le aziende, dato che possono sfociare nel furto di identità, perdite di denaro e compromissione della sicurezza dei dati.
Difendersi da questo tipo di attacco non è semplice perché fa perno unicamente sulla capacità degli utenti di riconoscere una truffa molto bene architettata. A salvare le potenziali vittime è infatti una sana dose di diffidenza, anche quando una richiesta sembra provenire a tutti gli effetti da fonti affidabili. Solo una formazione adeguata contro questo tipo di minaccia può sviluppare negli utenti un atteggiamento di cautela verso la condivisione di informazioni personali tramite telefonate e SMS, oltre che via email. Sul piano tecnico l’unico supporto può essere l'autenticazione a due fattori.