Smishing: cos’è e come difendersi da questi attacchi informatici
Data di pubblicazione: 20 Gennaio 2023

Lo smishing è uno strumento prezioso nell’arsenale dei truffatori. È probabile che tu l’abbia incontrato anche se non sapevi che era il suo nome. Non arriva via e-mail o messaggio diretto sui social media, invece prende un percorso diretto direttamente sul tuo cellulare.

È spesso considerata una truffa relativamente recente, ma è popolare ormai da diversi anni. La pandemia, unita all’aumento delle consegne a domicilio, non ha fatto che aumentare la sua popolarità.

Cos’è lo smishing e come funziona?

Per prima cosa, diamo un’occhiata al significato della parola: smishing è lo stesso phishing, ma non diffuso via e-mail, ma tramite SMS. Da qui il termine stesso: smishing = SMS + phishing. L’obiettivo dei criminali, come con qualsiasi altro phishing, è quello di attirare importanti informazioni personali dalla vittima, molto spesso si tratta di una password bancaria su Internet o dei dettagli di una carta bancaria. Per fare ciò, i truffatori inviano SMS, di norma, su qualche problema fittizio: un pacco bloccato, una fattura non pagata o un account bloccato. Per risolvere il problema, è necessario seguire il collegamento. Ci sono due possibili scenari per lo sviluppo degli eventi:

  1. la prima opzione: sei infettato da malware che si maschera da applicazione legittima di qualche servizio e si offre insistentemente di inserire tutti i dati importanti;
  2. seconda opzione: sei attratto da un sito che si maschera da sito legittimo di qualche servizio e, beh, sì, si offre di inserire tutti i dati importanti.

In generale, tutto dipende da ciò con cui è più conveniente lavorare per questi particolari truffatori: malware o siti Web. Il risultato per la vittima in entrambi i casi è lo stesso: la perdita di denaro, spesso abbastanza tangibile: migliaia di dollari, euro o sterline vengono rubati alle persone.

Esempi di attacchi smishing

Esistono diversi tipi di attacchi smishing. Questi includono:

  • Covid-19 Smishing: La pandemia di coronavirus non solo ha gettato il mondo fisico in uno stato di disordine, ma ha creato il catalizzatore perfetto per l’ascesa del crimine informatico. Con così tanti computer remoti attivi e funzionanti e la maggior parte delle aziende che modificano i propri sistemi mentre procedono, ci sono ampie opportunità per i criminali informatici di sfruttare l’inesperienza delle aziende che non hanno familiarità con il lavoro remoto.

Ma le minacce informatiche in relazione a COVID-19 sono andate oltre il semplice hacking. Sono aumentati anche gli attacchi di phishing/smishing sotto forma di truffe sul coronavirus. Queste truffe includevano l’invio di e-mail o messaggi di testo che offrivano maschere gratuite con un collegamento per ritirarle. Questi messaggi sono stati falsificati come messaggi di noti enti di beneficenza come la Croce Rossa.

In altri casi di frode, i messaggi sono stati inviati fingendo di provenire da un’agenzia governativa o da un’altra organizzazione rispettabile e contenevano collegamenti esca. Questi attacchi di ingegneria sociale sono stati molto più efficaci di quanto si possa pensare, poiché sono stati alimentati dalla paura e dalla disinformazione che hanno regnato durante la crisi.

  • Gift smishing: il gift smishing è un altro tipo di truffa di phishing che utilizza app di social media come Facebook, Instagram o WhatsApp per inviare messaggi alle vittime. Il messaggio afferma che il destinatario ha vinto un regalo e lo invita a seguire il collegamento. Dopo aver fatto clic sul collegamento, il malware viene scaricato sul computer.
  • Inviare una fattura o una conferma d’ordine: un’azienda invia una fattura o una conferma d’ordine tramite messaggio di testo. Un utente inserisce i propri dettagli di pagamento su un sito falso quando fa clic su un collegamento in un messaggio. L’obiettivo è costringere l’utente a scaricare malware sul proprio dispositivo.
  • Smishing nel settore dei servizi finanziari: i messaggi vengono inviati agli utenti dalle loro banche o società di carte di credito, avvertendoli di attività sospette sui loro conti. Pensano di poter controllare i loro account, ma invece scaricano malware sui loro dispositivi.
  • Offrire falsi sconti sulle bollette: è un popolare attacco smishing. Lo svantaggio qui è che questi messaggi di solito non sono mirati. Di conseguenza, un gran numero di persone senza account corrispondenti ignorerà semplicemente il messaggio. Tuttavia, questo non è necessariamente un problema per il sender. Questi messaggi vengono inviati in blocco e il truffatore si aspetta un piccolo numero di risposte dalla rete estesa. I profitti cumulativi illeciti dalle persone che ci sono cascate probabilmente hanno più che compensato i costi iniziali.
  • I pacchi scaduti/in ritardo rappresentano un’enorme opportunità per i truffatori. Se volessi definire smishing, questo sarebbe l’attacco smishing più significativo fino ad oggi. Con così tante persone a casa e così tanti acquisti online ogni giorno, è molto difficile tenere traccia di tutto ciò che entra in casa. La combinazione di noti servizi di consegna con falsi avvisi di addebito di spedizione è la chiave del successo smishing.

Come riconoscere gli attacchi smishing

Gli attacchi smishing hanno caratteristiche comuni a cui prestare attenzione:

  • “Congratulazioni! Hai vinto!” Questo è un messaggio di phishing comune che fa credere a una persona di aver vinto un premio in denaro. Il collegamento o il numero di telefono fornito per la chiamata di solito richiede prima le informazioni personali. Ma se non hai partecipato a nessuna competizione, difficilmente potresti vincere qualcosa.
  • Il messaggio è stato inviato in un momento insolito. La maggior parte delle attività commerciali è aperta tra le 8:00 e le 18:00, quindi se ricevi messaggi da un’organizzazione “legittima” a tarda notte o molto presto al mattino, puoi immediatamente sospettare che qualcosa non va.
  • Messaggio bancario urgente. Molto probabilmente, la tua banca ti chiamerà direttamente in caso di richieste urgenti o errori. In questo caso, la banca di solito controlla le tue informazioni anche per telefono. Se ricevi un messaggio bancario urgente via SMS, chiama prima la tua banca per verificare se l’hanno inviato.
  • Errori ortografici e grammaticali. Organizzazioni rispettabili assumono editori e scrittori esperti. Controllare il messaggio SMS ricevuto per errori di ortografia o grammaticali; se sono presenti, è molto probabile che ti trovi di fronte a una truffa.
  • Usa una VPN. Le VPN sono servizi legittimi che ti consentono di mascherare il tuo indirizzo IP e impedire agli estranei di vedere la tua vera posizione e attività web, anche sul tuo telefono. Questo può aiutarti a identificare i messaggi smishing, soprattutto se ricevi un messaggio che fa riferimento alla posizione errata fornita dalla tua VPN. Tuttavia, alcuni criminali informatici hanno persino approfittato delle VPN e hanno inviato collegamenti a servizi VPN “gratuiti” (o “scontati”) tramite SMS

Come proteggersi dallo smishing?

Rispetta le seguenti regole per evitare di diventare vittima di smishing:

  • Non seguire mai i collegamenti dai messaggi SMS. L’unica eccezione è il recupero dell’account tramite SMS, che tu stesso hai richiesto.
  • Non chiamare mai il numero di telefono indicato in un messaggio sospetto. Se questo messaggio è arrivato dalla tua “banca”, chiama il numero della tua banca che conosci.
  • Quando ricevi un messaggio che mette sotto pressione le emozioni, non agire immediatamente. Concediti 5 minuti per calmarti e fare il punto della situazione.
  • Se ricevi un messaggio con contenuto discutibile, inserisci nella ricerca il numero di telefono da cui è arrivato il messaggio. Forse questo numero è presente nel database dei numeri fraudolenti.
  • Utilizza un gestore di password per archiviare e gestire in modo sicuro le password di tutti i tuoi account. Abilitare sempre l’autenticazione a due o più fattori per impedire l’accesso non autorizzato.
  • Non fare clic su collegamenti di testo non richiesti. Se non ti aspettavi di ricevere un messaggio, non seguire lo strano link.

Gli attacchi di phishing sono una delle minacce più grandi e diffuse nel cyberspazio. Alcuni tipi di attacchi di phishing:

  • Il vishing è un tipo di frode in cui i criminali cercano di influenzare telefonicamente il titolare di una carta di pagamento. Lo scopo del vishing è scoprire i dati segreti della tua carta per rubare il conto.
  • Lo spear phishing è un tipo specifico di phishing in cui la vittima viene ingannata utilizzando informazioni personali accurate raccolte in anticipo. Ad esempio, un hacker potrebbe utilizzare i dati pubblici ottenuti dai tuoi account sui social media per convincerti che il loro messaggio è autentico.

La principale differenza tra phishing e spear phishing è che in quest’ultimo gli hacker prendono di mira una vittima specifica piuttosto che masse di persone contemporaneamente.

Whaling

Questo è un altro tipo di phishing sofisticato e avanzato che prende di mira solo un gruppo specifico di persone: dirigenti aziendali di alto rango come manager o amministratori delegati, che dispongono di informazioni preziose e di un maggiore accesso al sistema.

Questi attacchi richiedono uno sforzo maggiore, ma la ricompensa è probabilmente maggiore.

Contattaci

    Ultime News Cyber Security