Nessun limite alla fantasia: regola fondamentale del Vishing
Seconda lezione: i malfattori sono specialisti del cosiddetto “social engineering”, l'“ingegneria sociale”, senza però far capire di cosa si tratta.
di Umberto Rapetto
Stiamo parlando di una serie di tecniche di inganno che sfruttano la fragilità delle persone e fanno perno sulla fiducia nel prossimo, sul nobile sentimento dell’altruismo, sull’avidità che spinge ad avventurarsi nei pericolosi sentieri che dovrebbero portare a incredibili guadagni, sulla paura di qualcosa e sulle relative conseguenze.
Può essere interessante e soprattutto utile conoscere le principali modalità con cui il “vishing” prende forma. Questo genere di cognizione è la prima mossa per prevenire il verificarsi di brutte esperienze.
Il social engineering e – di conseguenza – il “vishing” cominciano con il malfattore che si presenta come persona di cui ci si può fidare. Le maschere, tutte virtualmente indossate a pennello, sono quelle dell’impiegato della Banca, del funzionario dell’Agenzia delle Entrate o dell’INPS, del titolare della succursale della compagnia assicuratrice, del dipendente di qualche ente pubblico.
Chi riceve una chiamata da un simile personaggio si trova a dondolare emozionato tra timore e curiosità, frettoloso di sapere cosa succede e cosa bisogna fare. L’urgenza di provvedere prende il sopravvento sul riflettere e sull’agire con calma.
I truffatori, ad esempio, chiamano per dire che il conto corrente è a rischio di prelievo indebito e che bisogna sbrigarsi a porre rimedio ad una eventualità tutt’altro che remota. È ovvio che il destinatario di un simile avvertimento si mette subito in agitazione e manifesta il desiderio di ricevere istruzioni che lo possano salvare.
Un’emozione forte è innescata dalla comunicazione di una multa o di una sanzione. Poco importa se il chiamante si dichiara come operatore del Fisco o vigile urbano. In entrambi i casi la premura di voler sistemare le cose prende il sopravvento su qualsivoglia intenzione di verificare l’attendibilità della notizia appena ricevuta e del soggetto con cui si sta parlando.
Si rivelano efficaci anche le telefonate dell’INPS che lamentano complesse irregolarità di carattere previdenziale. La materia poco comprensibile per i comuni mortali e il panico per possibili contravvenzioni fa presto a mandare in tilt anche le persone dotate di un forte autocontrollo.
Altra “esca” è quella dell’offerta irripetibile, della concessione di un prestito di denaro a condizioni vantaggiose, dell’attribuzione di un premio. Non c’è solo la paura a far perdere il controllo della situazione: anche un evento favorevole può incrinare la necessaria prudenza….
In tutte queste circostanze i criminali – dopo aver dipinto abilmente lo scenario – recitano la loro parte secondo un copione prestabilito. Ogni volta chiedono alla vittima di fornire informazioni personali e spesso non perdono tempo nel domandare anche quale sia l’identificativo dell’utenza (il cosiddetto “account”) e la parola chiave (o “password”) utilizzati per accedere agli specifici servizi.
Sempre più spesso chiedono all’interessato di provvedere direttamente a collegarsi al conto corrente per l’esecuzione di pagamenti e a comunicare i codici ricevuti via SMS per il completamento delle operazioni. Questa dinamica non sembra strana a chi è finito in trappola che, invece, si sente coccolato da tante pazienti attenzioni…
È capitato – e purtroppo sta accadendo sempre più spesso – che il malandrino di turno suggerisca al suo bersaglio di installare un software che permette al bandito di agire a distanza sul computer del malcapitato. Sono programmi normalmente adoperati per consentire agli operatori dei Servizi di Assistenza di risolvere i problemi di funzionamento, di configurare la stampante o lo scanner, di ottimizzare le prestazioni. Con questo sistema chi si collega al computer è in grado di agire come se fosse seduto alla scrivania del correntista e con tutte le sue facoltà.
I delinquenti fingono di fare operazioni di prova ma in realtà si sostituiscono alla persona autorizzata e ogni operazione risulterà effettuata dall’abitazione e dal dispositivo del soggetto legittimato a fare bonifici, pagamenti o altro. I codici autorizzativi arriveranno via SMS all’interessato che – in assoluta buona fede – li confesserà a chi al telefono glieli chiede mentre lo stanno scippando elettronicamente.