Lo Smishing, conosciuto anche come SMS Phishing, rappresenta un metodo fraudolento che sfrutta i messaggi di testo per tentare di indurre le vittime a divulgare informazioni personali o ad installare malware.
In modo analogo al phishing, i criminali informatici utilizzano questa tecnica per rubare dati sensibili, fingendosi rappresentanti di un’organizzazione affidabile o una persona di fiducia.
Analizziamo, dunque, in dettaglio tecniche e strumenti del phishing via SMS.
- SMS Phishing: di cosa si tratta
- Perché lo smishing preoccupa così tanto?
- Esempi pratici di SMS Phishing
- Come prevenire lo smishing
- Conclusioni
SMS Phishing: di cosa si tratta
Lo Smishing è una sottocategoria di phishing che sfrutta i messaggi di testo, anziché le tradizionali e-mail.
Anche in questo caso, i truffatori cercano di ottenere informazioni personali dalle potenziali vittime.
Il messaggio di solito contiene un link a un sito web falso, ma che appare identico al sito legittimo. Una volta giunti sulla pagina, il destinatario viene sollecitato ad inserire i propri dati personali.
Spesso, i malintenzionati utilizzano informazioni false per rendere il messaggio più credibile, facendolo apparire come proveniente da un’organizzazione o un’azienda legittima.
Questa forma di attacco informatico è diventata molto diffusa grazie alla popolarità degli smartphone, che rappresentano un bersaglio facile per i truffatori. Consente, infatti, di rubare informazioni personali e finanziarie sensibili sfruttando le debolezze dei sistemi operativi mobile e delle SIM.
La consapevolezza pubblica sui rischi del phishing, dello smishing e di altri attacchi informatici sta crescendo, in parte grazie alla copertura mediatica di molti incidenti di questo tipo.
Per rubare i dati, i criminali informatici di solito utilizzano una di queste due strategie:
- Malware: il link presente nell’sms potrebbe trarre in inganno facendo scaricare un software malevolo sul dispositivo. Questo malware, che si presenta sotto le spoglie di un’app legittima, potrebbe indurre a fornire informazioni riservate, che vengono poi inviate ai criminali informatici.
- Siti web maligni: il link presente nell’sms potrebbe condurre ad un sito falso che chiede di inserire informazioni personali sensibili. I criminali informatici utilizzano siti maligni appositamente creati per imitare quelli affidabili, facilitando così il furto delle informazioni.
In genere, i messaggi di testo smishing si presentano come se fossero inviati dalla banca (o dalle poste) e chiedono di fornire informazioni personali o finanziarie, come il numero di conto o di carta di credito.
Perché lo smishing preoccupa così tanto?
I cybercriminali che agiscono attraverso il metodo dell’sms phishing, spesso si fingono persone o entità in cui la vittima ha fiducia, al fine di indurla ad adempiere alle loro richieste.
I principi dell’ingegneria sociale consentono agli attaccanti di manipolare la decisione della vittima.
I fattori principali di questa manipolazione sono tre:
- Fiducia: gli hacker, fingendosi persone o entità affidabili, abbassano la diffidenza della loro vittima. Inoltre, gli SMS, essendo un canale di comunicazione più personale, abbassano naturalmente le difese della vittima contro le minacce informatiche.
- Contesto: utilizzando una situazione che potrebbe essere di interesse rilevante per le vittime, si crea un inganno efficace. Il messaggio sembra personalizzato, il che aiuta a superare qualsiasi sospetto che possa essere spam.
- Emozione: agendo sulle emozioni della vittima, i cybercriminali possono annullare il loro pensiero critico e spingerli ad agire rapidamente.
Usando questi metodi, chi attacca scrive messaggi che inducono il destinatario ad agire.
Le vittime sono selezionate in molti modi, ma di solito sono basate sulla loro affiliazione a un’organizzazione o in base alla geolocalizzazione. Dipendenti o clienti di un’istituzione specifica, abbonati a reti mobili, studenti universitari e anche residenti di una determinata area possono essere obiettivi targettizzati.
Utilizzando un metodo noto come spoofing, un attaccante può nascondere il proprio vero numero di telefono dietro una decoy. I cybercriminali che utilizzano l’sms phishing possono anche utilizzare telefoni “usa e getta”, per nascondere ulteriormente l’origine dell’attacco.
Esempi pratici di SMS Phishing
I cybercriminali utilizzano diverse tecniche di smishing per manipolare le persone. Fra queste, alcune tattiche comuni includono:
- Chiusura dell’account: gli aggressori inviano un messaggio in cui si afferma che l’account della persona è stato disabilitato e che occorre effettuare un reset della password. Seguendo le istruzioni del messaggio, la persona resetta la password, ma l’attaccante ne ruba le credenziali online. Questi attacchi spesso si mascherano da banche, marchi noti o agenzie governative.
- Frode del CEO: gli aggressori si fingono un capo o un responsabile dell’azienda e inviano messaggi ai dipendenti chiedendo loro di aiutare a soddisfare una richiesta. Ad esempio, possono chiedere di comprare carte regalo per una festa aziendale, pagare una fattura o inviare dati sensibili. Poiché i messaggi sembrano provenire da una figura di autorità, le vittime possono ignorare i segnali d’allarme e acconsentire alla richiesta.
- Tasse o multe non pagate: le vittime ricevono un messaggio in cui si afferma che devono pagare tasse o multe non pagate, includendo un link o un numero di telefono. Tuttavia, si tratta di un link non sicuro progettato per rubare denaro.
- Offerte gratuite: questi attacchi di smishing promettono alle vittime un regalo gratuito, come una crociera, una carta regalo o un bene di consumo. Per ricevere il regalo, le vittime devono fornire alcuni dati, inserire le loro informazioni di login o pagare una piccola tassa.
- Mancata consegna dei pacchi: partire da settembre 2020, si sono diffusi resoconti riguardanti una frode SMS di consegna di pacchi falsa che coinvolgeva USPS e FedEx (poi successivamente estesa a tutti i vettori di consegna, compreso Amazon). Tale attacco di smishing potrebbe tentare di sottrarre le credenziali di accesso per vari servizi o le informazioni della tua carta di credito. I messaggi iniziali affermano una consegna mancata o errata del pacchetto e forniscono un link ad un sito web, il quale si presenta come un sondaggio per regali da parte di FedEx o USPS
- Assistenza Clienti: chi attacca si presenta come rappresentante dell’assistenza di una società di fiducia per aiutare a risolvere un problema. Le aziende tecnologiche ed e-commerce ad alto utilizzo come Apple, Google e Amazon sono efficaci camuffamenti per i cybercriminali.
Come prevenire lo smishing
Purtroppo, è difficile impedire l’arrivo di messaggi smishing sul proprio telefono.
L’apertura della messaggistica SMS significa che chiunque può inviare un messaggio a qualsiasi numero di telefono.
Prendersi il tempo per valutare l’autenticità di un messaggio di testo contribuirà a prevenire un attacco smishing riuscito. Ecco alcuni modi per rilevare e prevenire le minacce smishing.
Verificare l’identità: se si riceve un messaggio da un presunto datore di lavoro o da una banca, ad esempio, assicurarsi che sia autentico prima di rispondere. Le aziende spesso utilizzano numeri di cinque o sei cifre quando inviano messaggi di testo, il che rende più difficile convalidare la loro autenticità. Se si hanno dubbi, contattare direttamente la persona o l’organizzazione per discutere riguardo al loro messaggio.
Formare i dipendenti: un’adeguata formazione sulla sicurezza aiuta a garantire che i dipendenti sappiano come individuare e segnalare i messaggi sospetti. Sebbene la frode via e-mail sia un problema significativo, i dipendenti devono anche imparare a riconoscere le truffe via SMS o telefonate.
Ignorare: i messaggi di testo smishing spesso sono innocui se non si clicca su nessun link o non si risponde. Si potrebbe anche optare per bloccare il numero di telefono, così da impedire la ricezione di sms o chiamate da mittenti non attendibli
Abilitare la protezione anti-spam: alcuni telefoni hanno capacità di filtro anti-spam. Può deviare i messaggi da mittenti sconosciuti o avvisare se crede che un messaggio sia spam. Gli scammer comunque aggirano questi filtri creando nuovi numeri di telefono.
Segnalare: se si crede di aver ricevuto una minaccia di smishing, è possibile segnalare il numero come spam al proprio operatore. Oltre a questo, ci si può rivolgere alle autorità di pubblica sicurezza per sporgere una denuncia (la truffa telefonica, dal punto di vista giuridico, è potenzialmente riconducibile a quanto stabilito dall’articolo 640 del Codice Penale).
Conclusioni
Lo smishing è una minaccia reale e in costante aumento. Gli attaccanti usano diverse tattiche per manipolare le persone, spesso impersonando organizzazioni e aziende affidabili per convincere le loro vittime a fornire informazioni personali e finanziarie.
Purtroppo, è difficile prevenire l’arrivo di questi messaggi smishing sui nostri telefoni. Tuttavia, ci sono alcune precauzioni che possiamo prendere per proteggerci, come:
- la verifica dell’identità del mittente
- l’ignorare i messaggi sospetti,
- l’abilitazione della protezione anti-spam
- il report del messaggio sospetto al carrier del telefono
- la formazione dei dipendenti sulla sicurezza
È importante ricordare che la prevenzione è la migliore difesa contro lo smishing.
Prendersi il tempo di verificare l’autenticità di un messaggio e di non rispondere o cliccare su link sospetti è essenziale per evitare di diventare vittima di questo tipo di attacco.
Inoltre, mantenere costantemente aggiornati i propri dispositivi con le ultime patch di sicurezza e utilizzare strumenti di protezione può aiutare notevolmente a prevenire gli attacchi di smishing.
- Autore articolo
- Gli ultimi articoli
Classe 1990, dopo la laurea in Scienze Politiche mi sono trasferita in Inghilterra. Ho sempre amato la scrittura e ad oggi mi occupo, oltre che di digital marketing, di copywriting e Seo. La curiosità guida ogni ambito in cui opero, infatti non smetto mai di aggiornarmi e studiare.