QR code per la pagina originale

VoIP Phishing: prove tecniche di funzionamento

,

Negli ultimi giorni i media insistono molto nel pubblicizzare il problema delle frodi informatiche: il phishing è una realtà diffusa e molte banche online sono già da tempo corse ai ripari cercando di informare i propri clienti del problema.

Con l’avvento di nuove tecnologie si modificano anche i metodi di truffa ed è in questo contesto che nasce il VoIP Phishing. In cosa consiste? Beh, analogamente al phishing classico, la nuova metodologia cerca di rubare le credenziali di accesso a servizi di banking online, soprattutto, e di utilizzarle per compiere “saccheggi” sul conto del malcapitato. La novità sta nel fatto che tali credenziali vengono comunicate a voce a dei fasulli call center appositamente creati.

Il meccanismo è il solito: nella propria casella di posta elettronica arriva una mail con un link che fa partire una chiamata in VoIP verso il call center della banca o dell’istituzione “simulata”; a questo punto l’utente, fidandosi del fatto che dall’altra parte c’è una voce e puntando sul fatto che nessuno metterebbe in piedi un call center per effettuare delle truffe, comunica tutte le informazioni all’operatore che si trova all’altro capo e finisce in trappola. In realtà, grazie al VoIP, è molto semplice ed altrettanto economico mettere su qualche postazione di phishing vocale ed è ancora più facile far scomparire ogni traccia una volta raggirate un numero sufficiente di persone.

Ma c’è anche un altro metodo che può essere utilizzato. Il phisher potrebbe contattare direttamente la vittima utilizzando un numero che può sembrare lecito ma che in realtà è derivato da un’operazione di spoofing. La tecnologia VoIP rende infatti abbastanza semplice recuperare l’identificativo di un chiamante per poi utilizzarlo per mascherare il proprio.

Il fenomeno del VoIP phishing è, per fortuna, ancora abbastanza limitato; il primo caso è stato denunciato negli Stati Uniti dalla Cloudmark, una società di email-filtering, ed ha avuto una durata di pochi giorni ed un volume di traffico limitato a qualche migliaio di email: forse i truffatori hanno fatto una prova?