Negli ultimi anni il telefono che abbiamo sempre in tasca è diventato il bersaglio preferito dei criminali informatici; non tanto per il dispositivo in sé, ma per la relazione di fiducia che abbiamo con esso.
Lo estraiamo in un gesto oramai automatico, rispondiamo senza pensarci troppo, apriamo link con un tocco; è proprio in questo spazio mentale che si insinuano due tecniche ormai diffusissime, smishing e vishing.
Dietro questi termini c’è l’evoluzione naturale del phishing classico; gli attacchi non arrivano più soltanto tramite e-mail, ma anche attraverso messaggi SMS, chat, telefonate o messaggi vocali, che sembrano provenire da persone fidate. Si tratta di social engineering allo stato puro, sempre più preciso e metodico a livello psicologico.
Smishing e vishing: spiegati senza giri di parole
Lo smishing è piuttosto semplice: ti arriva un messaggio tramite SMS o chat che usi ogni giorno; è breve, diretto, credibile. Ti informa di un problema urgente, spesso legato ad un pagamento, un pacco in consegna, un accesso sospetto al tuo account. Dentro c’è un link che sembra legittimo – ma non lo è.
Il vishing funziona allo stesso modo, ma utilizzando piuttosto la voce di una persona.
Esso può presentarsi sotto forma di una chiamata (spesso molto convincente), che simula quella di un operatore bancario o un tecnico di un servizio che conosci; nei casi più sofisticati, può addirittura impiegare la voce di un familiare o di un collega. È proprio in questo frangente che la tecnologia sta cambiando la partita: la facilità con cui oggigiorno si possono clonare voci reali rende gli attacchi sempre più credibili.
Il pretesto perfetto nasce prima della chiamata
Gli attaccanti non partono mai da zero: prima di chiamarti o scriverti raccolgono informazioni. Sono utilizzati social network, vecchi data breach, elenchi pubblici. Bastano pochi indizi per costruire un messaggio convincente.
A volte riescono ad arrivare a nomi di colleghi, ruoli, abitudini; altre volte si inventano un’emergenza, talmente plausibile da rendere naturale una tua reazione impulsiva.
Lo schema più comune è quello della “finta emergenza”. C’è chi riceve messaggi come “sono io, ho perso il telefono, rispondimi qui” oppure “serve subito confermare un pagamento, altrimenti blocchiamo il conto”. Questo linguaggio non è casuale, serve a sottrarti il tempo per riflettere.
Il fattore psicologico: perché funzionano così bene
Lo smishing e il vishing vanno a segno perché non entrano dalla porta informatica, ma piuttosto da quella emotiva. Quando percepiamo la sensazione d’urgenza, il nostro cervello passa in modalità pilota automatico; l’istinto ci fa reagire, non ragionare.
Ciò è esattamente quello che desiderano i criminali: più essi ti fanno sentire sotto pressione, più aumenta la probabilità che tu faccia ciò che ti chiedono.
La tecnologia che potenzia il vishing
Negli attacchi vocali moderni ci sono due elementi che stanno facendo la differenza.
Il primo è il deepfake audio, che permette di simulare la voce reale di una persona con pochissimi campioni. Il secondo è l’ID spoofing, che fa apparire sul display dello smartphone un numero che sembra vero. Magari quello della tua banca, o quello di un collega.
La potenziale pericolosità di questo mix, a questo punto, risulta alquanto evidente.
Come difendersi davvero: più testa, meno fretta
La protezione più efficace non è un antivirus, ma un’abitudine mentale. Quando arriva un messaggio o una chiamata che spinge sull’urgenza, il primo passo è rallentare. Letteralmente.
Chiudere la conversazione, respirare, ricontattare la persona o l’azienda tramite canali ufficiali è sempre la scelta più intelligente. Nessuna banca o istituzione seria chiede di comunicare codici, password o OTP tramite SMS o durante una chiamata.
Se qualcosa non torna, è quasi certamente un inganno.
E dentro le aziende?
Per le organizzazioni il problema è ancora più critico. Lo smishing e il vishing non puntano soltanto ai privati, ma soprattutto ai dipendenti con accessi privilegiati. Serve formazione continua, policy chiare su come devono avvenire le comunicazioni interne e strumenti tecnici che filtrino il traffico sospetto.
La verità è semplice: non stiamo combattendo la tecnologia, ma la manipolazione
Smishing e vishing non si battono con strumenti miracolosi, ma con consapevolezza e metodo. Gli attacchi cambiano forma, ma la leva è sempre la stessa: la fiducia.
La fiducia, nel mondo digitale, si concede solo dopo una verifica – mai prima.
Di Federico Branchetti – Cybersecurity Developer, Cyberoo
