Il Vishing non è altro che una variante del phishing: in questo caso è il telefono il vettore utilizzato per portare a termine un attacco. Una tipologia di attacco arcaica che però è tornata di moda grazie al boom improvviso dello smart working causato dalla pandemia. 

Tecnicamente parlando, il termine deriva dall'unione delle parole voice e phishing. Questa tipologia di attacco fa leva sull'anello più debole della catena della sicurezza, ovvero l'utente umano: gli attacchi di vishing non a caso sono strutturati con l'impiego di attività e tecniche sempre più sofisticate di ingegneria sociale. Gli attaccanti quindi non devono occuparsi di violare complesse soluzioni di difesa, non devono preoccuparsi se un firewall protegge una rete: devono solo fare breccia nella debolezza e scarsa consapevolezza dell'utente. 

Lo scopo resta, comunque, lo stesso del phishing: indurre la vittima a consegnare spontaneamente, con l'inganno, dati sensibili come informazioni personali o finanziarie, informazioni sui sistemi di sicurezza aziendali o, molto più banalmente, ad eseguire transazioni economiche. Le tecniche usate sono molteplici, sia psicologiche che sociali: solitamente l'attaccante che telefona alla vittima si spaccia per una banca, per la società della carta di credito o di un altro istituto finanziario, segnala problemi di verifica dell'account banking oppure che sono state individuate transazioni non autorizzate o, in altri casi, proponendo una offerta irripetibile. In ogni caso si cerca sempre di indurre la vittima a percepire uno stato di urgenza ("mandaci i tuoi dati per verificare il tuo account banking, perché ti stanno svuotando il conto!"): fare leva sul senso di urgenza rende meno lucide le persone, che quindi sono meno propense a prendersi il tempo di verificare la veridicità della telefonata. Si cerca, in generale, di stimolare una risposta emotiva e poco lucida facendo leva su paura, curiosità, urgenza ecc...

Importante è che la vittima sia indotta a fidarsi dell'interlocutore e che quindi esegua le azioni che l'attaccante gli suggerisce, sperando di coglierla più possibile di sorpresa. 

Che avvenga via email o via telefono, poco cambia: phishing e vishing bersagliano principalmente il settore bancario. In questo caso, lo schema classico di truffa prevede un attaccante che, spacciandosi come operatore di un istituto bancario, spiega alla vittima che è stata individuata una truffa relativa alla sua carta di credito. Richiede quindi alla vittima le informazioni personali, spiegando quanto sia importante e urgente procedere a verifica degli accessi e delle transazioni per bloccare il flusso di denaro in uscita: ovviamente scopo reale dell'attaccante è rubare PIN, OTP, credenziali di accesso dei conti correnti, estremi delle carte di credito.  Per essere massimamente convincente, talvolta l'attaccante prepara la chiamata con un lavoro precedente di raccolta informazioni sul proprio target. 

Ha fatto notizia, lo scorso Dicembre, la scoperta di una frode informatica da parte della Polizia Postale: l'accusa è di associazione a delinquere finalizzata alla sostituzione di persona, furto aggravato, indebito utilizzo di carte elettroniche. Lo schema truffaldino prevedeva, preliminarmente all'attacco, di rubare corrispondenza dai centri di smistamento della corrispondenza del Centro-Nord Italia: obiettivi privilegiati le buste contenenti carte di credito e debito che gli istituti bancari spediscono agli utenti. Una volta ottenuti i dati da questi furti di corrispondenza, si passava all'azione telefonando direttamente alla vittima: gli attaccanti convincevano la vittima di essere dipendenti dell'istituto bancario di riferimento, così da farsi consegnare PIN e OTP per risolvere inesistenti problemi di attivazione della carta stessa. 

E' così che l'organizzazione criminale, sfruttando conti correnti e carte prepagate, ha potuto rubare oltre 1 milione di euro: i prelievi di contanti agli sportello ATM confluivano così nella rete dei prepagati ed il denaro veniva così riciclato sfruttando prestanome. 

Il primo problema che consente il vishing è il fatto che, nel dark web, è possibile acquistare miliardi di identità digitale che consentono agli attaccanti di spacciarsi per un'altra persona. Quindi, la prima forma di difesa è stare ben attenti a chi e quando si forniscono informazioni personali, ad altre persone ma anche a pagine web o social. Ricevere una chiamata urgente ma inaspettata deve mettere in allarme: prestare attenzione, rallentare o prendere tempo se tutto avviene troppo precipitosamente, darsi il tempo di verificare. Se una chiamata è particolarmente sospetta, è consigliabile interrompere la chiamata, contattando poi i numeri di assistenza reali rintracciabili dai siti web ufficiali e chiedendo verifiche sul problema.

D'altronde, con un attacco di questo tipo, non ci sono soluzioni di sicurezza software e hardware che tengano: soltanto l'utente, in questo caso, può fungere da strumento di sicurezza dei propri dati.