Il phishing via telefono: quando qualcuno ti chiama fingendosi la banca o l'IT support. Perche' funziona e come si collega agli attacchi email.
Il vishinge un attacco di phishing condotto via telefono. Il nome nasce dalla fusione di “voice” (voce) e “phishing”. L'attaccante ti chiama fingendosi qualcuno di cui ti fidi -- la banca, l'assistenza tecnica, un fornitore, un collega -- e usa la conversazione per convincerti a rivelare informazioni sensibili, credenziali o autorizzare operazioni.
Perche funziona? Perche la voce crea fiducia. Una telefonata e piu personale di un'email. Il tono urgente, la pressione emotiva, la conversazione in tempo reale -- tutto spinge la vittima a reagire senza pensare. Non c'e il tempo di “passare il mouse sul link” come in un'email.
Il legame con l'email
Il vishing raramente arriva da solo. Nella maggior parte dei casi, precede o segue un attacco email. L'attaccante invia un'email “ufficiale” e poi chiama per “confermare”. Oppure chiama per primo, creando il pretesto per un'email successiva con link o allegati malevoli. L'email e quasi sempre il primo contatto nella catena.
Un attacco di vishing e una truffa ben orchestrata. Ecco come si sviluppa tipicamente:
L'attaccante studia il bersaglio: organigramma aziendale su LinkedIn, nomi dei fornitori dal sito web, numeri di telefono interni. Piu informazioni ha, piu la telefonata sara credibile.
Chiama con un numero che sembra legittimo (caller ID spoofing: il numero visualizzato puo essere falsificato). Si presenta come supporto IT, helpdesk bancario, fornitore storico. Il tono e professionale, rassicurante, leggermente urgente.
Crea un pretesto credibile: “Abbiamo rilevato un accesso sospetto al suo account”, “Dobbiamo aggiornare le credenziali del server di posta”, “Il CEO ha urgenza di completare questo pagamento”. Usa tecniche di social engineering per creare pressione.
Dopo la chiamata, arriva l'email di “conferma” con un link da cliccare, un allegato da aprire o coordinate bancarie da usare per il “bonifico urgente”. La telefonata serviva a creare fiducia e urgenza. L'email e il colpo finale.
Ecco scenari reali che colpiscono le aziende italiane ogni giorno:
“Buongiorno, sono Marco del supporto tecnico. Abbiamo rilevato un tentativo di accesso non autorizzato alla sua casella email aziendale. Per motivi di sicurezza, ho bisogno che mi confermi la sua password attuale cosi posso reimpostarla.” Il dipendente, preoccupato, la comunica. L'attaccante adesso controlla la sua email.
“Sono l'avvocato del Dott. Panzeri. C'e un'acquisizione riservata in corso e il CEO ha bisogno di un bonifico urgente. Le mando subito un'email con le coordinate. Mi raccomando: massima riservatezza, neanche i colleghi devono sapere.” L'email arriva pochi minuti dopo. Questa e una classica frode BEC combinata con vishing.
“Salve, chiamo dalla contabilita di [fornitore reale]. Abbiamo cambiato banca e le coordinate per i prossimi pagamenti sono diverse. Le mando un'email con la nuova fattura aggiornata.” La fattura e identica a quella vera, ma con un IBAN diverso. Senza una verifica telefonica al numero noto del fornitore (non quello della chiamata), il pagamento finisce ai criminali.
MailSniper non puo bloccare una telefonata. Ma il vishing funziona quasi sempre in coppia con l'email. Il telefono crea il pretesto, l'email porta il colpo. Ecco dove MailSniper interviene:
L'attaccante chiama e poi manda l'email con il link malevolo o le coordinate bancarie false. MailSniper analizza quell'email e la blocca prima che arrivi.
Le truffe vishing + email (CEO fraud, fatture false) sono attacchi BEC. MailSniper rileva impersonificazioni, richieste di pagamento anomale e domini sospetti.
Se un'email chiede un pagamento urgente, un cambio di IBAN o credenziali, l'AI la segnala anche se il mittente sembra legittimo.
Se il vishing ruba le credenziali email di un dipendente, MailSniper rileva i comportamenti anomali dell'account compromesso e blocca gli attacchi laterali.
Consiglio pratico
Se ricevi una telefonata sospetta seguita da un'email “urgente”, fermati. Verifica chiamando il numero ufficiale del mittente (cercalo tu, non usare quello fornito nella chiamata). E usa il nostro analizzatore di header email per controllare se l'email e autentica.
L'attacco via email da cui derivano vishing (voce) e smishing (SMS).
Phishing via SMS. Spesso combinato con vishing in attacchi multi-canale.
Business Email Compromise: la truffa via email che il vishing spesso prepara.
Le tecniche di manipolazione psicologica alla base del vishing.
Falsificazione del mittente: nel vishing si falsifica il caller ID, nell'email l'indirizzo.