What is vishing and how does it work?

Vishing (voice phishing) uses phone calls to manipulate targets into revealing sensitive information or authorizing transactions. Attackers spoof caller IDs to appear as banks, IT support, or executives. They use urgency, authority, and fear to prevent victims from verifying the request. The FBI's Internet Crime Complaint Center reported over $10 billion in losses from phone-based fraud in 2022.

How can you verify if a phone call is legitimate?

Never trust caller ID alone, as it can be spoofed. Tell the caller you will call back through the official number listed on the company's website or your internal directory. Legitimate callers will not object to this. Never provide passwords, one-time codes, or financial details over an inbound call, regardless of who the caller claims to be. If they pressure you to stay on the line, that itself is a red flag.

Vishing

Handle a realistic voice phishing call.

Cos’è Vishing?

Il vishing, o voice phishing, utilizza le telefonate per manipolare i dipendenti affinche rivelino informazioni sensibili, trasferiscano fondi o concedano accesso ai sistemi. L'Internet Crime Complaint Center dell'FBI ha riportato oltre 10 miliardi di dollari di perdite da schemi di ingegneria sociale nel 2022, con gli attacchi telefonici che rappresentano una quota crescente. A differenza del phishing via email, il vishing sfrutta le dinamiche della conversazione in tempo reale dove i bersagli hanno meno tempo per pensare criticamente e sentono la pressione sociale di essere collaborativi. In questa simulazione, il tuo telefono squilla. L'ID chiamante mostra un numero che sembra appartenere al dipartimento IT della tua azienda o a un fornitore di fiducia. La persona dall'altra parte e calma, professionale e utilizza terminologia specifica del settore che suona legittima. Spiega un incidente di sicurezza o un aggiornamento di sistema che richiede la tua cooperazione immediata, inclusa la conferma delle tue credenziali di accesso, l'autorizzazione dell'accesso remoto o la lettura ad alta voce di un codice di autenticazione multi-fattore. Praticherai la pausa nella conversazione, la formulazione di domande di verifica e l'utilizzo di procedure di richiamata attraverso numeri telefonici ufficiali piuttosto che quelli forniti dal chiamante. L'esercizio copre gli specifici indizi vocali e i modelli conversazionali che distinguono gli ingegneri sociali dai chiamanti legittimi: il sottile reindirizzamento quando fai domande approfondite, l'urgenza crescente quando suggerisci di richiamare, e l'uso strategico del gergo tecnico per creare un falso senso di competenza condivisa.

Cosa imparerai in Vishing

Riconoscere lo spoofing dell'ID chiamante e comprendere perche i numeri di telefono visualizzati non possono essere considerati come verifica dell'identita
Applicare la verifica tramite richiamata utilizzando le directory aziendali ufficiali piuttosto che i numeri di telefono forniti dal chiamante
Identificare le tattiche di pressione conversazionale utilizzate dai visher, inclusa l'urgenza crescente, le affermazioni di autorita e il gergo tecnico
Rifiutare di condividere credenziali, codici MFA o autorizzare l'accesso remoto durante le chiamate in entrata, indipendentemente dalla giustificazione dichiarata
Distinguere tra verifica assertiva dell'identita e comportamento conflittuale per mantenere la professionalita durante le chiamate sospette

Vishing — Fasi della formazione

Introduzione

Questa formazione simula un attacco vishing nel mondo reale in cui un utente malintenzionato utilizza un filtro vocale generato dall'intelligenza artificiale per impersonare un collega fidato. È un martedì pomeriggio impegnativo quando squilla il telefono di Alice. L'ID chiamante mostra 'Mike Stevens - Int. 4247'. Alice conosce Mike; è un ragazzo davvero amichevole del team Infrastruttura. Lo riconosce come il solito numero di Mike e risponde prontamente alla chiamata.
La chiamata inaspettata

All'insaputa di Alice, Bob ha effettuato ricerche su Nexlify Solutions e sul loro cliente SecureTech per settimane. Ha raccolto informazioni sulla struttura aziendale, sui nomi dei dipendenti e sui sistemi interni attraverso i profili dei social media, LinkedIn e il sito web dell'azienda. Bob ha anche ottenuto registrazioni della voce di Mike da presentazioni di conferenze disponibili al pubblico e webinar aziendali. Utilizzando un software avanzato di clonazione vocale basato su intelligenza artificiale, ha creato una replica convincente della voce di Mike e ha falsificato l'ID del chiamante per visualizzare l'interno interno di Mike.
L'introduzione convincente

La voce al telefono suona esattamente come quella di Mike: stesso tono, stesso modo di parlare e persino il suo caratteristico leggero accento di Boston. Tutto grazie alle tecnologie GenAI e a un grande set di dati delle registrazioni dei discorsi pubblici di Mike.
Creare urgenza

Bob stabilisce urgenza e autorità menzionando un collega malato e un importante incontro con un cliente.
La richiesta di informazioni

Alice comincia a sentire la pressione della situazione urgente e vuole aiutare un collega in difficoltà.
Apertura dei file

Alice apre il portale aziendale e tenta di accedere a dati sensibili.
Condivisione di informazioni sensibili

Alice inizia a leggere le informazioni sensibili al telefono. Ciò è severamente vietato dalle regole aziendali, ma la richiesta sembra urgente e Mike non ha accesso alle risorse aziendali a causa di un problema con la VPN.
Un errore enorme

Alice ha ora condiviso informazioni altamente riservate protette da NDA, inclusi dettagli di crittografia proprietaria, posizioni di ripristino di emergenza e protocolli di sicurezza interni.
L'e-mail sospetta

Bob vede che il suo attacco ha avuto successo e tenta di intensificare l'azione inviando ad Alice un'e-mail di phishing.
Arriva un'e-mail losca

Alice riceve un'e-mail che sembra provenire da Mike Stevens.

Cos’è Vishing?

Cosa imparerai in Vishing

Vishing — Fasi della formazione

Introduzione

La chiamata inaspettata

L'introduzione convincente

Creare urgenza

La richiesta di informazioni

Apertura dei file

Condivisione di informazioni sensibili

Un errore enorme

L'e-mail sospetta

Arriva un'e-mail losca