Il vishing sta diventando una delle tecniche di social engineering più efficaci contro le aziende, soprattutto quando i criminali puntano ai reparti IT e ai call center interni. Un recente filone di attacchi attribuito al gruppo SLH mostra un approccio ancora più strutturato e industriale, con l’obiettivo di aumentare il tasso di successo delle telefonate verso gli help desk. Il gruppo offrirebbe compensi tra 500 e 1000 dollari per singola chiamata per reclutare donne da impiegare in campagne di voice phishing, fornendo anche script già pronti per rendere credibile l’impersonificazione di dipendenti o utenti autorizzati.

Il bersaglio principale è il processo di assistenza: reset password, ripristino account e soprattutto reset o aggiramento della multi-factor authentication. Quando l’help desk viene convinto a modificare credenziali o a concedere eccezioni, gli attaccanti possono ottenere accesso iniziale senza sfruttare vulnerabilità tecniche. Da lì la catena di intrusione prosegue spesso con movimenti laterali e escalation dei privilegi, fino all’esfiltrazione di dati sensibili e in alcuni casi al rilascio di ransomware.

Un elemento ricorrente è l’uso di strumenti e servizi legittimi per confondersi nel traffico normale. Tra questi compaiono reti di proxy residenziali e servizi di tunneling, utili a mascherare l’origine delle connessioni e a mantenere canali operativi stabili. Anche piattaforme di file sharing possono essere sfruttate per trasferire rapidamente archivi e dati sottratti. In ambienti cloud, l’attenzione si sposta su Microsoft Azure e sulle API di gestione, che possono facilitare enumerazione, accesso alle risorse e attività di persistenza se l’identità compromessa ha privilegi sufficienti.

Per ridurre il rischio, le organizzazioni dovrebbero rafforzare le procedure di verifica identità dell’help desk, limitare i reset MFA non verificati e abbandonare metodi deboli come SMS quando possibile. È fondamentale formare il personale a riconoscere chiamate ben preparate e scriptate, applicare controlli aggiuntivi per richieste anomale e monitorare i log per creazione di nuovi utenti, cambi di privilegi e attività amministrative subito dopo interazioni con il supporto.