Cos’è lo smishing e cosa fare per prevenire l’SMS phishing

Lo smishing – fusione dei termini SMS e phishing – non arriva via e-mail o nei messaggi diretti sui social media. Ma segue un percorso diretto: quello del tuo cellulare. Il concetto è semplice: stiamo parlando di una tecnica di ingegneria sociale che utilizza messaggi di testo SMS per ingannare le vittime e indurle a

• divulgare informazioni sensibili;
• compiere azioni dannose.

Lo smishing è considerato una truffa recente, ma non è così: in realtà è una minaccia informatica che va avanti da diversi anni. L’aumento delle consegne a domicilio non ha fatto che aumentare la sua popolarità. E la diffusione di questa opzione tipica del social engineering può diventare un problema anche a livello aziendale. Ecco come puoi proteggerti dai cybercriminali seguendo anche le informazioni del Garante della Privacy.

Cos’è lo smishing, una definizione

Iniziamo con una spiegazione di base: lo smishing è una truffa che viene inviata tramite SMS e che rientra nel grande circuito del social engineering. Al pari del phishing e del vishing, anche questa opzione punta a manipolare chi riceve i messaggi che cercano di far compiere azioni dannose. Solo che, in questo caso, lo strumento utilizzato per veicolare la minaccia è l’SMS. Ovvero, i messaggi che si ricevono sul cellulare.

Come funziona questa truffa?

L’obiettivo dei criminali, come con qualsiasi sistema basato sul phishing, è quello di ottenere importanti informazioni personali dalla vittima, utilizzando identità di organi o aziende autorevoli come banca, ministeri o grandi aziende. Spesso, l’obiettivo dell’SMS phishing è una password o i dettagli di una carta bancaria. 

I truffatori inviano SMS con un problema da risolvere: un pacco bloccato, una fattura non pagata o un account che ha bisogno di un’azione specifica. L’invito che viene mandato a grandi database di numeri telefonici trafugati è quello di risolvere un problema impellente. Magari seguendo un collegamento.

Quest’azione porta a due possibili scenari. Nel primo dai l’accesso a un malware che si maschera da applicazione legittima di qualche servizio. Nel secondo caso, atterri su un sito che si maschera da portale ufficiale e ti spinge a inserire i dati importanti. Il risultato per la vittima in entrambi i casi è lo stesso: la perdita di denaro, spesso abbastanza tangibile: migliaia di dollari, euro o sterline vengono rubati alle persone.

Caratteristiche tecniche principali:

La pericolosità dello smishing deriva dalla maggiore fiducia che gli utenti hanno negli SMS rispetto alle email e dalla limitata capacità di verifica delle fonti sui dispositivi mobili. Ecco perché il concetto di invio malware su SMS tramite smishing si basa, in primo luogo, sullo spoofing del mittente. Ovvero la manipolazione dell’ID del mittente per far apparire il messaggio come proveniente da fonti legittime.

Inoltre, ci sarà un URL accorciato o mascherato grazie a servizi shortening o domini simili a quelli legittimi per nascondere la destinazione reale. A tutto questo si aggiungono gli elementi tipici dell’ingegneria sociale che sfruttano urgenza, paura o curiosità per spingere all’azione immediata.

Come riconoscere gli attacchi smishing

Le minacce smishing hanno caratteristiche comuni che ti permettono di evitare i rischi principali. Certo, c’è bisogno di esperienza e formazione per riconoscere i casi di truffa via telefono ma i punti essenziali sono in questa lista nella quale trovi i segnali tipici di un SMS smishing.

Messaggi inviati in un momento insolito

La maggior parte delle attività commerciali è aperta tra le 8:00 e le 18:00, quindi se ricevi messaggi da un’organizzazione che si spaccia per legittima a tarda notte, o molto presto al mattino, puoi sospettare di questo invio. Lo stesso vale per il vishing, il phishing vocale via telefono.

Attenzione al link di riferimento

L’elemento da controllare per evitare le truffe legate allo smishing: il link che ti chiedono di cliccare è affidabile? Verifica sempre le risposte con attenzione e assicurati che il collegamento ipertestuale sia legato a un dominio reale: dubita di link accorciati, che non ti permettono di vedere il dominio. Se non si tratta di uno short link, controlla se ci sono errori di ortografia nel dominio principale e nell’estensione.

Il messaggio si presenta come urgente

Molto probabilmente, la tua banca ti chiamerà direttamente in caso di richieste importanti. Lo stesso vale per altri istituti come le Poste o l’Agenzia delle Entrate. Se ricevi un messaggio urgente via SMS, chiama il centralino per verificare se c’è qualcosa che non va.

Errori ortografici e grammaticali

Organizzazioni e istituti di un certo livello assumono editori e copywriter per le comunicazioni ufficiali. Verifica il messaggio SMS ricevuto: se ci sono errori di ortografia o grammatica è molto probabile che ti trovi di fronte a una truffa.

Tipologie di attacchi smishing

Come si previene uno smishing? In primo luogo devi conoscere le caratteristiche di questi attacchi. Ci sono diversi tipi di SMS smishing con messaggi che sostengono di provenire da un’agenzia governativa o da un’altra organizzazione rispettabile. In realtà, veicolano  collegamenti esca alimentati dalla paura e dalla disinformazione. Come verificare questi elementi? Conoscendo le varie tipologie di smishing.

Gift smishing

Un tipo di truffa phishing che invia messaggi alle vittime. Il contenuto: afferma che il destinatario ha vinto un regalo e lo invita a seguire il collegamento. Dopo aver fatto clic sul collegamento, il malware viene scaricato sul computer. A volte i cyber criminali sfruttano l’executive impersonation e inviano messaggi che impersonano dirigenti per richiedere azioni specifiche grazie al livello di credibilità e autorevolezza superiore.

Fatture e ordini

Un’azienda invia una fattura o una conferma d’ordine tramite messaggio di testo. Un utente inserisce i propri dettagli di pagamento su un sito falso quando fa clic su un collegamento in un messaggio. L’obiettivo è costringere l’utente a scaricare malware sul proprio dispositivo.

Emergency scam

Non esistono solo notifiche di vincite fittizie che richiedono dati personali o pagamenti per riscuotere premi inesistenti. Spesso, lo smishing si manifesta con messaggi che simulano emergenze di familiari o amici per ottenere trasferimenti di denaro immediati.

Smishing finanziari

I messaggi vengono inviati agli utenti dalle loro banche o società di carte di credito, avvertendoli di attività sospette sui conti. Pensano di controllare i loro account, invece scaricano malware sui loro dispositivi. Rientrano in questa tipologia di attacco anche quelli legati a falsi sconti sulle bollette di luce, acqua e gas.

Smishing postale

I pacchi scaduti/in ritardo rappresentano un’enorme opportunità per i truffatori. Con così tanti acquisti online ogni giorno, è molto difficile tenere traccia di tutto ciò che entra in casa. La combinazione di noti servizi di consegna con falsi avvisi di addebito di spedizione è la chiave del successo dello smishing.

Come prevenire lo smishing

Anticipare lo smishing – così come accade per il whaling o lo spear phishing – può essere un’impresa difficile da gestire perché a volte i messaggi malevoli sono difficili da identificare. Ma ci sono delle tecniche per evitare il peggio anche a livello aziendale. Ecco qualche consiglio utile.

Diffida dai link inviati dagli SMS

La regola fondamentale per evitare di cadere in errore: non seguire mai i collegamenti dai messaggi SMS che non riconosci o non hai chiesto. L’unica eccezione è il recupero dell’account tramite SMS, che tu stesso hai richiesto. Il resto potrebbe essere Account hijacking: messaggi che impersonano servizi popolari (Google, Apple, Microsoft) richiedendo conferma password per presunti accessi non autorizzati o aggiornamenti.

Se ricevi un messaggio con contenuto discutibile, magari con two-factor authentication bypass che richiedono codici di verifica 2FA spacciandosi per procedure di sicurezza legittime, inserisci nella ricerca di Google il numero di telefono da cui è arrivato il messaggio. Forse è presente nei database di mittenti fraudolenti.

BYOD (Bring Your Own Device)

Il modello di gestione degli endpoint noto come BYOD estende la sicurezza aziendale ai dispositivi non controllati direttamente dall’organizzazione. Se vuoi che i dipendenti usino i propri dispositivi, compresi gli smartphone, per lavorare in azienda devi implementare controlli di sicurezza e politiche di accesso con un compliance checking automatico che includa patch level, antivirus, jailbreak detection.

Mantieni la calma, sempre

I danni si palesano quando la pressione legata all’urgenza – tipica azione di ingegneria sociale – si fa sentire. Non chiamare mai il numero di telefono indicato in un messaggio sospetto. Se questo messaggio è arrivato, ad esempio, dalla tua banca o dall’INPS, chiama il numero che conosci o che trovi su una fonte affidabile.

Quando ricevi un messaggio che mette sotto pressione le emozioni, non agire immediatamente. Calmati e fai il punto della situazione: potrebbero essere casi di Banking smishing che simulano comunicazioni bancarie richiedendo login o PIN per presunte verifiche di sicurezza.

Verifica le informazioni

Spesso questi messaggi non sono mirati, a volte chi riceve l’SMS fraudolento non ha l’account del servizio in questione ma questo non è necessariamente un problema per il sender. I messaggi vengono inviati in blocco e il truffatore si aspetta un piccolo numero di risposte dalla rete estesa. I profitti cumulativi illeciti dalle persone che ci sono cascate probabilmente hanno più che compensato i costi iniziali.

Usa un VPN

I virtual private network ti consentono di mascherare il tuo indirizzo IP e impedire agli estranei di vedere la tua vera posizione e attività web, anche sul tuo telefono. Questo può aiutarti a identificare i messaggi smishing, soprattutto se ricevi un messaggio che fa riferimento alla posizione errata fornita dal VPN.

Come muoversi a livello aziendale?

Come anticipato, anche le imprese devono imparare a gestire le minacce legate allo smishing. Il primo punto da sottolineare è quello della sensibilizzazione: bisogna informare i clienti e i dipendenti su come riconoscere gli SMS legittimi e quelli che non lo sono. E poi bisogna fare in modo che, se vengono ingannate le persone, l’infrastruttura IT reagisca nel miglior modo possibile.

A tal proposito, noi possiamo aiutarti a gestire tutti gli aspetti legati alla cybersicurezza come, ad esempio, l’attivazione di un sistema di managed detection & response e di  SOC (Security Operation Center).