Nessun limite alla fantasia: regola fondamentale del Vishing

di Umberto Rapetto

Stiamo parlando di una serie di tecniche di inganno che sfruttano la fragilità delle persone e fanno perno sulla fiducia nel prossimo, sul nobile sentimento dell’altruismo, sull’avidità che spinge ad avventurarsi nei pericolosi sentieri che dovrebbero portare a incredibili guadagni, sulla paura di qualcosa e sulle relative conseguenze.

Può essere interessante e soprattutto utile conoscere le principali modalità con cui il “vishing” prende forma. Questo genere di cognizione è la prima mossa per prevenire il verificarsi di brutte esperienze.

Il social engineering e – di conseguenza – il “vishing” cominciano con il malfattore che si presenta come persona di cui ci si può fidare. Le maschere, tutte virtualmente indossate a pennello, sono quelle dell’impiegato della Banca, del funzionario dell’Agenzia delle Entrate o dell’INPS, del titolare della succursale della compagnia assicuratrice, del dipendente di qualche ente pubblico.

Chi riceve una chiamata da un simile personaggio si trova a dondolare emozionato tra timore e curiosità, frettoloso di sapere cosa succede e cosa bisogna fare. L’urgenza di provvedere prende il sopravvento sul riflettere e sull’agire con calma.

I truffatori, ad esempio, chiamano per dire che il conto corrente è a rischio di prelievo indebito e che bisogna sbrigarsi a porre rimedio ad una eventualità tutt’altro che remota. È ovvio che il destinatario di un simile avvertimento si mette subito in agitazione e manifesta il desiderio di ricevere istruzioni che lo possano salvare.

Un’emozione forte è innescata dalla comunicazione di una multa o di una sanzione. Poco importa se il chiamante si dichiara come operatore del Fisco o vigile urbano. In entrambi i casi la premura di voler sistemare le cose prende il sopravvento su qualsivoglia intenzione di verificare l’attendibilità della notizia appena ricevuta e del soggetto con cui si sta parlando.

Si rivelano efficaci anche le telefonate dell’INPS che lamentano complesse irregolarità di carattere previdenziale. La materia poco comprensibile per i comuni mortali e il panico per possibili contravvenzioni fa presto a mandare in tilt anche le persone dotate di un forte autocontrollo.

Altra “esca” è quella dell’offerta irripetibile, della concessione di un prestito di denaro a condizioni vantaggiose, dell’attribuzione di un premio. Non c’è solo la paura a far perdere il controllo della situazione: anche un evento favorevole può incrinare la necessaria prudenza….

In tutte queste circostanze i criminali – dopo aver dipinto abilmente lo scenario – recitano la loro parte secondo un copione prestabilito. Ogni volta chiedono alla vittima di fornire informazioni personali e spesso non perdono tempo nel domandare anche quale sia l’identificativo dell’utenza (il cosiddetto “account”) e la parola chiave (o “password”) utilizzati per accedere agli specifici servizi.

Sempre più spesso chiedono all’interessato di provvedere direttamente a collegarsi al conto corrente per l’esecuzione di pagamenti e a comunicare i codici ricevuti via SMS per il completamento delle operazioni. Questa dinamica non sembra strana a chi è finito in trappola che, invece, si sente coccolato da tante pazienti attenzioni…

È capitato – e purtroppo sta accadendo sempre più spesso – che il malandrino di turno suggerisca al suo bersaglio di installare un software che permette al bandito di agire a distanza sul computer del malcapitato. Sono programmi normalmente adoperati per consentire agli operatori dei Servizi di Assistenza di risolvere i problemi di funzionamento, di configurare la stampante o lo scanner, di ottimizzare le prestazioni. Con questo sistema chi si collega al computer è in grado di agire come se fosse seduto alla scrivania del correntista e con tutte le sue facoltà.

I delinquenti fingono di fare operazioni di prova ma in realtà si sostituiscono alla persona autorizzata e ogni operazione risulterà effettuata dall’abitazione e dal dispositivo del soggetto legittimato a fare bonifici, pagamenti o altro. I codici autorizzativi arriveranno via SMS all’interessato che – in assoluta buona fede – li confesserà a chi al telefono glieli chiede mentre lo stanno scippando elettronicamente.