Ammettiamo senza alcun problema che parlare di una nuova minaccia informatico/telefonica in una rubrica che si chiama ‘5 minuti di relax’ non è il massimo della coerenza.
Quando abbiamo dato il nome alla rubrica abbiamo pensato al fatto che il lettore potesse trovarvi degli argomenti trattati in modo sintetico e leggero (per gli argomenti trattati in modo ‘pesante’ per i lettori un po’ più smaliziati ci sono gli ‘Approfondimenti’), slegati dal discorso immediato e quotidiano, e probabilmente slegati anche dal motivo per cui si è entrati nel sito, per cui ci sembrava che si potesse configurare una sorta di ‘relax’, magari un po’ sui generis.
Visto che sempre di argomenti informatici si tratta, è praticamente impossibile, tuttavia, non incappare ogni tanto in qualche argomento spiacevole, e questo è uno dei casi.
Insomma, è un po’ come essere alla macchinetta del caffè in ufficio: stiamo rilassandoci qualche minuto, ma sempre in ufficio siamo ….
Ad ogni modo, siamo disponibili a valutare proposte sul cambio di nome alla rubrica, e attendiamo contributi.

Venendo al vishing (scritto a volte anche ‘vhishing’), siamo parzialmente scusati, riguardo alle osservazioni precedenti, in quanto si tratta, in realtà, di una minaccia ancora non del tutto espressa, quantomeno nel nostro Paese. Siamo cioè in uno dei rari casi in cui si può parlare in anticipo di una minaccia che non abbiamo ancora conosciuto attraverso effetti devastanti, ma che abbiamo la fortuna, si fa per dire, di analizzare preventivamente, preparandoci al fatto che prima o poi arriverà.
Come sempre accade da alcuni anni a questa parte, il livello di attenzione al fenomeno da parte del pubblico, che misura a sua volta quanto vicino o lontano dalla vita quotidiana è attualmente il fenomeno stesso, si misura dalle ricorrenze del vocabolo riferito al fenomeno che compaiono nei motori di ricerca.
Alla fine di Aprile 2008, le due varianti, vishing e vhising, totalizzavano su Google circa 200.000 ricorrenze. Niente, circa l’1,5 %, rispetto alle 13.900.000 ricorrenze di ‘phishing’, il termine dal quale è stato fatto derivare vhishing, per evidente assonanza.
C’è da dire che anche la crescita del fenomeno, peraltro, è piuttosto lenta. Noi ne abbiamo sentito parlare per la prima volta nel Luglio 2007, e non è che da allora il livello di attenzione sul vishing sia particolarmente cresciuto. Ad ogni modo, meglio stare in guardia.

Il phishing, com’è noto, è il tentativo di fare accedere un ignaro utente ad un sito web fasullo, camuffato da sito vero, attraverso l’invio di un messaggio di e-mail che indica il fatto che un account intestato all’utente (tipicamente un conto corrente bancario o postale utilizzato via web) sta per essere sospeso per sopraggiunti problemi: un sollecito intervento dell’utente, effettuato entrando sul web attraverso le proprie credenziali, scongiurerà questa eventualità. Peccato che il sito cui l’ignaro utente si collegherà, contenuto come collegamento all’interno del messaggio, sarà in realtà fasullo, e servirà ai truffatori per estorcere all’utente le credenziali d’accesso al vero sito.

Il vhishing è la versione telefonica del phishing. Anziché ricevere un’e-mail, l’utente attaccato riceve una telefonata con un messaggio preregistrato, che invita non ad accedere ad un sito web, bensì a contattare un numero verde, attraverso il quale effettuare le operazioni per evitare il blocco del proprio account. Mezzi diversi, ma meccanismo della truffa identico.
A rigore, il vhishing potrebbe non essere considerato appieno una truffa informatica, in quanto non viene coinvolto nulla di informatico dal lato utente. Tuttavia, proprio l’informatica la rende possibile, in quanto sia il meccanismo di invio delle chiamate che quello della ricezione via numero verde devono essere necessariamente gestiti via VOIP, il solo modo che si ha per mettere in piedi e smantellare in poche ore, il tempo necessario a carpire qualche credenziale, una centrale telefonica.
Dunque, le telefonate arrivano sui telefoni tradizionali, ma sono partite da Internet, e allo stesso modo le risposte partono dai telefoni tradizionali ma arrivano su un call center VOIP posto in Internet.

Allo stato attuale si registrano degli episodi di vhishing avvenuti negli USA ed in Gran Bretagna, mentre non si ha notizia di casi avvenuti in Italia.
Il lato positivo della cosa è che, forse, il livello di crescita così lenta del fenomeno potrebbe indicare più difficoltà tecniche e psicologiche del dovuto nel realizzare le truffe per questa via.
Il lato negativo è che, dovessero essere superate queste difficoltà, il vhishing potrebbe avere effetti realmente devastanti, se non debitamente pubblicizzato, in quanto è veramente in grado di raggiungere chiunque, e non solo chi gira su Internet. E’ sufficiente disporre di un telefono. Pensiamo in particolare alle persone anziane, le più indifese.