Vishing — Truffe Telefoniche: Riconoscerle e Proteggere l’Azienda (senza ansia)

Il telefono squilla. Dall’altro capo una voce professionale: “Buongiorno, sono Marco del supporto tecnico Microsoft. Abbiamo rilevato un'attività sospetta sul suo computer”. In 30 secondi ti chiedono di installare un software per “risolvere il problema”. Se lo fai, hai regalato l’accesso alla tua rete aziendale. Questa è la realtà del vishing — truffe telefoniche che ogni giorno colpiscono PMI italiane. No, di Meteora Web, lo vediamo quando arrivano clienti che hanno già subito danni. Non serve essere paranoici: serve sapere cosa guardare e come reagire.

Come funziona il vishing rispetto ad altre truffe social engineering?

Il vishing (voice phishing) è la versione telefonica del phishing. L’attaccante usa la voce — dal vivo o tramite un sistema automatizzato — per creare urgenza, fiducia o paura. Rispetto a una mail sospetta, la chiamata ha un impatto emotivo immediato: chi risponde non ha tempo di controllare indirizzi o link. L’obiettivo è lo stesso: ottenere credenziali, dati bancari, accessi remoti o installare malware.

La differenza con lo smishing e il phishing tradizionale

Nello smishing (SMS) l’utente ha qualche secondo per leggere e pensare. Nel phishing via mail può inoltrare il messaggio a un collega. Nel vishing la voce umana (o un bot convincente) chiude la finestra di riflessione. L’aggressore spinge a compiere un’azione subito: “clicchi qui”, “ci dica il codice ricevuto via SMS”, “scarichi questo software”. I numeri di telefono vengono comprati su database di lead rubati o da leak di dati. Noi abbiamo visto casi in cui il visher conosceva nome e cognome, azienda e persino la versione del software contabile usata — tutto recuperato da un data breach di un fornitore.

Quali sono le tecniche più usate dai visher?

I visher non improvvisano. Seguono script collaudati. Ecco i tre scenari più frequenti che colpiscono le aziende.

1. Finto supporto tecnico (Microsoft, Google, telecom)

“Abbiamo rilevato un virus sul suo computer. Per rimuoverlo deve farci accedere in remoto.” Se la vittima accetta, installano un VNC o TeamViewer, rubano file e credenziali. A volte chiedono un pagamento per il “servizio”.

2. Falsa banca o Poste

“Siamo l’ufficio antifrode. Ci risulta un tentativo di bonifico anomalo. Per bloccarlo deve comunicarci il codice ricevuto via SMS.” In realtà quel codice autorizza il visher a trasferire soldi dal conto aziendale.

3. Finto CEO o fornitore (spear vishing)

Il visher si spaccia per il direttore finanziario o un consulente fidato. “Devo urgentemente un bonifico a questo IBAN per un pagamento bloccato. Non c’è tempo per formalità.” Chi lavora in azienda e riconosce la voce del capo? A volte usano un clone vocale generato con AI (deepfake vocale) — ne abbiamo parlato nel nostro pillar sulla social engineering.

Come riconoscere una chiamata di vishing?

Non esiste un solo campanello d’allarme, ma la combinazione di alcuni elementi rende la chiamata sospetta. Ecco una checklist pratica da usare subito.

• Urgenza innaturale: “Se non agisce subito, il suo conto viene bloccato / il computer viene infettato / perderà i dati”. Le aziende vere non creano panico.
• Richiesta di installare software: Nessun supporto tecnico chiede di installare programmi senza che tu abbia aperto un ticket tu.
• Richiesta di codici di accesso: Nessuna banca ti chiede il codice ricevuto via SMS. Mai.
• Numero sconosciuto o mascherato: Spesso il caller ID mostra un numero che sembra italiano ma è spoofato. Soluzione: se non è in rubrica, lascia squillare e richiama su un numero ufficiale.
• Informazioni già in loro possesso: Se il visher conosce dati che sembrano interni, non fidarti: possono essere leak di password o dati pubblici.
• Voce registrata o robot troppo fluente: Con i sistemi di text-to-speech moderni, anche una voce umana potrebbe essere sintetica. Se sospetti, chiedi di richiamare su un numero noto.

Una regola semplice: se non hai avviato tu la chiamata, non fornire mai dati sensibili o accesso remoto. Fine.

Quali misure tecniche e organizzative adottare in azienda?

Il vishing si combatte con formazione e processi, non solo con software. Ma alcuni strumenti aiutano.

Formazione periodica e simulazioni

Organizza sessioni di sensibilizzazione di 30 minuti con i dipendenti, mostrando esempi reali di chiamate. Poi lancia simulazioni di vishing: un collega o un servizio esterno chiama imitando un visher. Chi cade? Si impara senza danni. Noi consigliamo di farlo almeno due volte l’anno, aggiornando gli script con le nuove tecniche (deepfake, estorsione, ecc.).

Procedura di “double check” per bonifici e dati sensibili

Stabilite un protocollo: ogni richiesta di bonifico o modifica di dati ricevuta per telefono deve essere confermata via email a un indirizzo noto, oppure richiamando su un numero ufficiale (non quello che hai ricevuto in chiamata). Questo semplice blocco ferma la maggior parte dei vishing.

Blocco dei numeri sospetti e whitelist

Se la vostra azienda usa un centralino VoIP, potete configurare regole per bloccare numeri noti come truffa. Servizi come Truecaller for Business o sistemi anti-spam telefonico aiutano, ma attenti: i visher cambiano numero ogni giorno. Meglio puntare sui comportamenti.

Verifica dell’identità tramite codice segreto condiviso

In team piccoli, concordate una parola chiave che solo voi conoscete. Se qualcuno chiama spacciandosi per il CEO, il dipendente può chiedere: “Qual è il codice di oggi?”. Nessun aggressore lo saprà. Non serve tecnologia, solo disciplina.

Cosa fare adesso

Non aspettare che il telefono squilli. In 10 minuti implementi queste azioni concrete:

1. Stampa la checklist dei campanelli d’allarme e mettila accanto a ogni telefono in ufficio (o come sfondo del desktop).
2. Definisci la procedura di double check per bonifici e dati: scrivila su un documento e inviala a tutto il team.
3. Scegli una parola chiave segreta per le comunicazioni critiche, comunicatela solo ai diretti interessati e cambiatela ogni mese.
4. Segnala i numeri sospetti alla Polizia Postale o tramite il sito della Polizia di Stato. Aiuta a creare database condivisi.
5. Pianifica una simulazione di vishing entro 30 giorni. Non serve un budget: anche un amico o un familiare che chiama seguendo un copione funziona.

Noi di Meteora Web seguiamo aziende dal 2017: dal dominio al fatturato, un unico interlocutore. Se vuoi un check sulla sicurezza informatica della tua PMI, contattaci. Il vishing si batte con la consapevolezza, non con la paura.