Lo smishing è un attacco alla sicurezza informatica basato sul phishing messo in atto con messaggi di testo inviati tramite cellulare, noto anche come phishing via SMS.
In quanto variante del phishing, le vittime vengono indotte a fornire informazioni sensibili a un aggressore che si spaccia per qualcun altro. Il phishing via SMS può essere supportato da malware o siti Web fraudolenti. Si verifica su molte piattaforme di messaggistica di testo per dispositivi mobili, inclusi canali non SMS come le app di messaggistica mobile basate su dati.
Come suggerisce la definizione, il termine smishing deriva dall'unione di "SMS", ovvero i messaggi di testo che si inviano tramite cellulare, e "phishing", cioè truffa. Per ampliare la definizione, lo smishing rientra nella categoria dei tipi di attacchi di social engineering basati sullo sfruttamento della fiducia umana invece che delle vulnerabilità tecniche.
Quando i cybercriminali fanno phishing, inviano e-mail fraudolente che cercano di ingannare il destinatario inducendolo ad aprire un collegamento dannoso. Lo stesso avviene per lo smishing, che semplicemente usa gli SMS al posto delle e-mail.
In sostanza, questi cybercriminali tentano di sottrarre dati personali, che possono quindi essere utilizzati per commettere frodi o altri crimini informatici. In genere, si tratta di rubare denaro, di solito quello della vittima, ma a volte anche quello dell'azienda per cui lavora.
I cybercriminali spesso adottano uno di questi due metodi per rubare i dati:
Gli SMS di smishing spesso si presentano come provenienti dalla banca della vittima e chiedono informazioni finanziarie o personali come il numero di conto o di carta di credito. Fornire queste informazioni equivale a consegnare le chiavi di casa propria ai ladri.
Con l’aumentare delle persone che usano il proprio smartphone personale per lavorare (una tendenza denominata BYOD, “Bring Your Own Device”), lo smishing sta diventando una minaccia tanto per le agenzie quanto per i clienti. Perciò non dovrebbe sorprendere che lo smishing sia diventato la forma principale di SMS dannosi.
Il cybercrimine mirato ai cellulari si sta evolvendo, proprio come l'uso dei cellulari stessi. A parte l'invio di messaggi che costituisce l'uso più comune che si fa degli smartphone, un paio di altri fattori rappresentano una minaccia particolarmente insidiosa alla sicurezza. Per spiegare questo concetto, occorre descrivere come avviene un attacco di smishing.
L'inganno e la frode sono i componenti fondamentali di qualsiasi attacco di phishing via SMS. Dal momento che l'aggressore assume un'identità che ritieni attendibile, sei più incline a soccombere alle sue richieste.
I principi del social engineering consentono agli autori di un attacco di smishing di manipolare il processo decisionale della vittima. I principali fattori di questo inganno sono di triplice natura:
Ricorrendo a questi metodi, gli autori degli attacchi scrivono messaggi che spingono chi li riceve ad agire.
In genere, i cybercriminali vogliono che il destinatario apra un collegamento URL presente nel messaggio SMS, che lo porterà a uno strumento di phishing il quale richiederà di fornire informazioni private. Questo strumento di phishing spesso prende la forma di un sito Web o di un'app che a sua volta assume una falsa identità.
I bersagli vengono scelti in molti modi diversi ma di solito si fa leva sulla loro posizione geografica o affiliazione a un'organizzazione. Dipendenti o clienti di una specifica istituzione, abbonati a reti mobili, studenti universitari e addirittura residenti di una specifica area geografica possono diventare bersagli.
Il travestimento di un aggressore di solito è correlato all'istituzione a cui intende accedere. In ogni caso, può essere qualsiasi travestimento che gli consenta di acquisire l'identità o le informazioni finanziarie a cui ambisce.
Utilizzando un metodo noto come spoofing, un aggressore può nascondere il suo vero numero di telefono. Gli autori degli attacchi di smishing possono anche usare i cosiddetti “burner phone”, ovvero telefoni prepagati usa e getta, per mascherare ulteriormente l'origine dell'attacco. I cybercriminali sono soliti utilizzare servizi che inviano SMS direttamente dalle caselle e-mail come altro mezzo per nascondere i loro numeri.
Passo dopo passo, un aggressore porterà avanti l'attacco nelle seguenti fasi chiave:
Lo schema di smishing dell'aggressore ha successo una volta che riesce a utilizzare le informazioni private ottenute per commettere il furto che intendeva portare a termine. Questo obiettivo potrebbe includere a titolo esemplificativo sottrarre denaro direttamente da un conto bancario, commettere un furto di identità per aprire illegalmente carte di credito o divulgare dati aziendali privati.
Come accennato in precedenza, gli attacchi di smishing avvengono sia tramite messaggi di testo tradizionali che con app di messaggistica non SMS. In ogni caso, gli attacchi di phishing SMS si diffondono principalmente senza interruzione e passando inosservati per via della loro natura ingannevole.
Il raggiro dello smishing è incrementato dal fatto che gli utenti hanno una falsa fiducia nella sicurezza del messaggio di testo.
Per prima cosa, quasi tutti conoscono i rischi di frode che si possono nascondere nelle e-mail. Probabilmente anche tu avrai imparato a essere sospettoso quando ricevi e-mail generiche del tipo "Ciao, dai un'occhiata a questo collegamento". L'esclusione di un reale messaggio personale dal presunto mittente tende a costituire un campanello di allarme di truffe di spam via e-mail.
Quando le persone usano il cellulare, però, sono meno diffidenti. Molti pensano che i propri cellulari siano più sicuri dei computer, però la sicurezza degli smartphone ha alcune limitazioni e non può sempre proteggere direttamente dai tentativi di smishing.
Indipendentemente dai mezzi utilizzati, in ultima analisi questi schemi richiedono semplicemente un po' di fiducia e un errore di giudizio per andare a segno. Per questo motivo, lo smishing può attaccare qualsiasi dispositivo mobile in grado di inviare e ricevere SMS.
I dispositivi Android sono la piattaforma principale sul mercato e costituiscono il bersaglio ideale per i messaggi di testo di malware. Tuttavia, anche i dispositivi iOS rappresentano bersagli altrettanto allettanti. La tecnologia mobile iOS di Apple ha una buona reputazione in termini di sicurezza, tuttavia non esiste un sistema operativo mobile che possa proteggere da solo dagli attacchi come il phishing. Un falso senso di sicurezza può lasciare gli utenti particolarmente vulnerabili, indipendentemente dalla piattaforma.
Un altro fattore di rischio è che spesso si usa il telefono in movimento, mentre si è distratti o di fretta. Questo implica che si abbassi la guardia e si risponda senza pensarci quando si riceve un messaggio in cui si chiede di fornire dati bancari o di riscattare un buono.
Ogni attacco di smishing utilizza metodi simili, ma la presentazione può variare in modo significativo. Gli aggressori possono ricorrere a svariate identità e a tutta una serie di presupposti per alimentare questi attacchi via SMS.
Sfortunatamente, è praticamente impossibile stilare un elenco completo delle tipologie di smishing a causa della continua innovazione di questi attacchi. Basandoci su una serie di presupposti prestabiliti per le truffe, possiamo indicare alcune caratteristiche per aiutarti a individuare un attacco di smishing prima di diventarne tu stesso vittima.
Ecco alcuni presupposti comuni per gli attacchi di smishing:
Le truffe di smishing legate al COVID-19 sono basate su programmi di sostegno legittimi ideati da governi, organizzazioni del settore sanitario ed enti finanziari per agevolare la ripresa dalla pandemia di COVID-19.
Gli aggressori hanno utilizzato questi schemi per manipolare i timori delle vittime riguardo alla salute e alle finanze nell'intento di commettere una truffa. I segnali di allarme possono includere:
Gli attacchi di smishing legati ai servizi finanziari sono mascherati da notifiche provenienti da istituti finanziari. Praticamente chiunque utilizza servizi bancari e di carte di credito, esponendosi così alla ricezione di messaggi generici e provenienti dalle diverse istituzioni. Anche i prestiti e gli investimenti sono presupposti comuni in questa categoria.
L'autore dell'attacco si presenta come istituto bancario o finanziario di altro tipo per mettere in atto una truffa di carattere finanziario. Le caratteristiche di una truffa di smishing legata ai servizi finanziari possono includere una richiesta urgente di sbloccare il conto, la necessità di verificare attività sospette riguardo al conto e così via.
Lo smishing legato agli omaggi suggerisce la possibilità di ottenere prodotti o servizi gratuiti, spesso da un rivenditore o da un'altra azienda affidabile. Può trattarsi di omaggi gratuiti, premi fedeltà o altre offerte di questo tipo. Quando un aggressore sollecita il tuo interesse facendo leva sull'idea di "gratuità", il risultato è che contro ogni logica procedi all'azione immediatamente. Alcuni segnali di questo attacco possono includere offerte a tempo limitato o buoni omaggio per una cerchia esclusiva di persone.
Questo tipo di smishing implica una falsa conferma di un recente acquisto o una fattura contraffatta per un servizio. Può essere fornito un collegamento a un ulteriore messaggio per suscitare la tua curiosità o essere richiesta un'azione immediata per provocare il timore di modifiche indesiderate. Tra i segnali che indicano questo tipo di truffa rientrano stringhe di testo di conferma dell'ordine o la mancanza del nome dell'azienda.
Gli autori di un attacco di smishing legato all'assistenza clienti si spacciano per rappresentanti del servizio di supporto di un'azienda affidabile intervenuti per aiutarti a risolvere un problema. I nomi più comuni che vengono sfruttati per questo tipo di attacco sono quelli di aziende hi-tech o di e-commerce come Apple, Google e Amazon.
In genere, il cybercriminale si presenterà dicendo che è stato rilevato un errore nel tuo account e ti spiegherà come risolverlo. Può trattarsi di una semplice richiesta come visitare una pagina di accesso fraudolenta, mentre schemi più complessi possono richiedere di fornire un codice di recupero reale dell'account nel tentativo di ripristinare la tua password. I campanelli di allarme di uno schema di smishing legato all'assistenza clienti includono un problema con una fattura o con l'accesso all'account, un'attività insolita o la risoluzione di un recente reclamo.
Dal momento che gli SMS arrivano praticamente a chiunque abbia un telefono cellulare, gli attacchi di smishing avvengono a livello globale. Ecco alcuni esempi di attacchi di smishing che dovresti conoscere.
Nel settembre 2020, ha preso piede una campagna di smishing che adescava gli utenti inducendoli a fornire i dettagli della carta di credito per ottenere un iPhone 12 gratis.
Questo schema partiva dal presupposto di una conferma dell'ordine con un SMS che informava che la spedizione era stata inviata a un indirizzo errato. L'URL contenuto nel testo reindirizzava quindi le vittime a uno strumento di phishing mascherato da chatbot Apple. Lo strumento guidava la vittima attraverso la procedura per richiedere l'iPhone 12 gratuito nell'ambito di un programma di prova ad accesso anticipato, ma finiva inevitabilmente per chiedere le informazioni della carta di credito per coprire le spese di spedizione.
Nel settembre 2020, hanno iniziato a circolare segnalazioni di una truffa via SMS di una falsa spedizione FedEx e USPS. Questo attacco di smishing tentava di sottrarre le credenziali degli account per diversi servizi o le informazioni delle carte di credito.
I messaggi segnalavano una mancata consegna o una spedizione a un indirizzo errato e fornivano un collegamento a un sito Web con uno strumento di phishing che simulava un sondaggio di FedEx o USPS con premi fittizi. Per quanto i presupposti di questi siti di phishing possano variare, molti sono stati identificati come tentativi di raccogliere le credenziali degli account per servizi come Google.
Nell'aprile 2020, il Better Business Bureau ha riscontrato un aumento nel numero di segnalazioni riguardanti SMS presuntamente provenienti dal Governo degli Stati Uniti che richiedevano agli utenti di sottoporsi a un test obbligatorio per il COVID-19 attraverso un sito Web collegato.
Naturalmente, molti hanno subodorato immediatamente la truffa dal momento che non esistono test online per il COVID-19. Tuttavia, i presupposti alla base di questi attacchi di smishing possono evolversi facilmente dal momento che alimentare il timore della pandemia è un metodo efficace per tormentare il pubblico.
La buona notizia è che è facile proteggersi dalle potenziali ramificazioni di questi attacchi. Ci si può tenere al sicuro non facendo proprio nulla. In sostanza, gli attacchi possono creare danni solo se si abbocca all'esca.
Detto questo, è opportuno ricordare che i messaggi SMS sono un metodo legittimo con cui rivenditori e istituzioni possono contattarti. Non tutti i messaggi vanno ignorati, ma devi agire con prudenza a prescindere.
Ci sono alcune cose da tenere a mente per proteggersi da questi attacchi.
Non dimenticare che, come il phishing tramite e-mail, lo smishing è un reato di frode: si basa sulla capacità di ingannare la vittima inducendola a fare clic su un collegamento o a fornire informazioni. Il modo più semplice per proteggersi da questi attacchi è non fare proprio nulla. Se non rispondi, un messaggio di testo pericoloso non può fare nulla.
Gli attacchi di smishing sono subdoli e potresti esserne già stato vittima, quindi dovresti avere in mente un piano di ripristino.
Adotta questi provvedimenti importanti per limitare i danni di un tentativo di smishing andato a buon fine:
Ognuno di questi passaggi ha un'importanza fondamentale per la tua protezione dopo un attacco di smishing. Tuttavia, segnalare un attacco non solo ti aiuta a rimetterti in sesto, ma fa in modo che anche altri non ne siano vittime.
Collegamenti correlati: