Smishing: significato e definizione
Lo smishing è un attacco alla sicurezza informatica basato sul phishing messo in atto con messaggi di testo inviati tramite cellulare, noto anche come phishing via SMS.
In quanto variante del phishing, le vittime vengono indotte a fornire informazioni sensibili a un aggressore che si spaccia per qualcun altro. Il phishing via SMS può essere supportato da malware o siti Web fraudolenti. Si verifica su molte piattaforme di messaggistica di testo per dispositivi mobili, inclusi canali non SMS come le app di messaggistica mobile basate su dati.
Cos'è lo smishing?
Come suggerisce la definizione, il termine smishing deriva dall'unione di "SMS", ovvero i messaggi di testo che si inviano tramite cellulare, e "phishing", cioè truffa. Per ampliare la definizione, lo smishing rientra nella categoria dei tipi di attacchi di social engineering basati sullo sfruttamento della fiducia umana invece che delle vulnerabilità tecniche.
Quando i cybercriminali fanno phishing, inviano e-mail fraudolente che cercano di ingannare il destinatario inducendolo ad aprire un collegamento dannoso. Lo stesso avviene per lo smishing, che semplicemente usa gli SMS al posto delle e-mail.
In sostanza, questi cybercriminali tentano di sottrarre dati personali, che possono quindi essere utilizzati per commettere frodi o altri crimini informatici. In genere, si tratta di rubare denaro, di solito quello della vittima, ma a volte anche quello dell'azienda per cui lavora.
I cybercriminali spesso adottano uno di questi due metodi per rubare i dati:
- Malware: il collegamento URL di smishing può portare a scaricare malware, ovvero software dannoso, che viene installato sul telefono della vittima. Questo malware via SMS potrebbe mascherarsi da app legittima, inducendo l'utente a digitare informazioni confidenziali che vengono inviate ai cybercriminali.
- Sito Web pericoloso: il collegamento nel messaggio di smishing può portare a un sito contraffatto che richiede l'immissione di informazioni personali sensibili. I cybercriminali ricorrono a siti pericolosi personalizzati che imitano quelli attendibili, semplificando così il furto di informazioni personali.
Gli SMS di smishing spesso si presentano come provenienti dalla banca della vittima e chiedono informazioni finanziarie o personali come il numero di conto o di carta di credito. Fornire queste informazioni equivale a consegnare le chiavi di casa propria ai ladri.
Con l’aumentare delle persone che usano il proprio smartphone personale per lavorare (una tendenza denominata BYOD, “Bring Your Own Device”), lo smishing sta diventando una minaccia tanto per le agenzie quanto per i clienti. Perciò non dovrebbe sorprendere che lo smishing sia diventato la forma principale di SMS dannosi.
Il cybercrimine mirato ai cellulari si sta evolvendo, proprio come l'uso dei cellulari stessi. A parte l'invio di messaggi che costituisce l'uso più comune che si fa degli smartphone, un paio di altri fattori rappresentano una minaccia particolarmente insidiosa alla sicurezza. Per spiegare questo concetto, occorre descrivere come avviene un attacco di smishing.
Come funziona lo smishing?
L'inganno e la frode sono i componenti fondamentali di qualsiasi attacco di phishing via SMS. Dal momento che l'aggressore assume un'identità che ritieni attendibile, sei più incline a soccombere alle sue richieste.
I principi del social engineering consentono agli autori di un attacco di smishing di manipolare il processo decisionale della vittima. I principali fattori di questo inganno sono di triplice natura:
- Fiducia: spacciandosi per individui e organizzazioni legittime, i cybercriminali riducono la diffidenza del loro bersaglio. Anche i messaggi SMS, in quanto canale di comunicazione più personale, abbassano naturalmente le difese di una persona contro le minacce.
- Contesto: sfruttare una situazione che potrebbe essere importante per la vittima permette all'aggressore di costruirsi un travestimento efficace. Il messaggio sembra personalizzato, il che contribuisce a prevalere sul sospetto che possa trattarsi di spam.
- Emozione: intensificando le emozioni della vittima, gli aggressori hanno la meglio sulla capacità di pensiero critico del loro bersaglio e lo spronano a una rapida azione.
Ricorrendo a questi metodi, gli autori degli attacchi scrivono messaggi che spingono chi li riceve ad agire.
In genere, i cybercriminali vogliono che il destinatario apra un collegamento URL presente nel messaggio SMS, che lo porterà a uno strumento di phishing il quale richiederà di fornire informazioni private. Questo strumento di phishing spesso prende la forma di un sito Web o di un'app che a sua volta assume una falsa identità.
I bersagli vengono scelti in molti modi diversi ma di solito si fa leva sulla loro posizione geografica o affiliazione a un'organizzazione. Dipendenti o clienti di una specifica istituzione, abbonati a reti mobili, studenti universitari e addirittura residenti di una specifica area geografica possono diventare bersagli.
Il travestimento di un aggressore di solito è correlato all'istituzione a cui intende accedere. In ogni caso, può essere qualsiasi travestimento che gli consenta di acquisire l'identità o le informazioni finanziarie a cui ambisce.
Utilizzando un metodo noto come spoofing, un aggressore può nascondere il suo vero numero di telefono. Gli autori degli attacchi di smishing possono anche usare i cosiddetti “burner phone”, ovvero telefoni prepagati usa e getta, per mascherare ulteriormente l'origine dell'attacco. I cybercriminali sono soliti utilizzare servizi che inviano SMS direttamente dalle caselle e-mail come altro mezzo per nascondere i loro numeri.
Passo dopo passo, un aggressore porterà avanti l'attacco nelle seguenti fasi chiave:
- Distribuzione dell'SMS "esca" ai bersagli.
- Compromissione delle informazioni della vittima con l'inganno.
- Esecuzione del furto desiderato sfruttando le informazioni compromesse delle vittime.
Lo schema di smishing dell'aggressore ha successo una volta che riesce a utilizzare le informazioni private ottenute per commettere il furto che intendeva portare a termine. Questo obiettivo potrebbe includere a titolo esemplificativo sottrarre denaro direttamente da un conto bancario, commettere un furto di identità per aprire illegalmente carte di credito o divulgare dati aziendali privati.
Come si diffonde lo smishing?
Come accennato in precedenza, gli attacchi di smishing avvengono sia tramite messaggi di testo tradizionali che con app di messaggistica non SMS. In ogni caso, gli attacchi di phishing SMS si diffondono principalmente senza interruzione e passando inosservati per via della loro natura ingannevole.
Il raggiro dello smishing è incrementato dal fatto che gli utenti hanno una falsa fiducia nella sicurezza del messaggio di testo.
Per prima cosa, quasi tutti conoscono i rischi di frode che si possono nascondere nelle e-mail. Probabilmente anche tu avrai imparato a essere sospettoso quando ricevi e-mail generiche del tipo "Ciao, dai un'occhiata a questo collegamento". L'esclusione di un reale messaggio personale dal presunto mittente tende a costituire un campanello di allarme di truffe di spam via e-mail.
Quando le persone usano il cellulare, però, sono meno diffidenti. Molti pensano che i propri cellulari siano più sicuri dei computer, però la sicurezza degli smartphone ha alcune limitazioni e non può sempre proteggere direttamente dai tentativi di smishing.
Indipendentemente dai mezzi utilizzati, in ultima analisi questi schemi richiedono semplicemente un po' di fiducia e un errore di giudizio per andare a segno. Per questo motivo, lo smishing può attaccare qualsiasi dispositivo mobile in grado di inviare e ricevere SMS.
I dispositivi Android sono la piattaforma principale sul mercato e costituiscono il bersaglio ideale per i messaggi di testo di malware. Tuttavia, anche i dispositivi iOS rappresentano bersagli altrettanto allettanti. La tecnologia mobile iOS di Apple ha una buona reputazione in termini di sicurezza, tuttavia non esiste un sistema operativo mobile che possa proteggere da solo dagli attacchi come il phishing. Un falso senso di sicurezza può lasciare gli utenti particolarmente vulnerabili, indipendentemente dalla piattaforma.
Un altro fattore di rischio è che spesso si usa il telefono in movimento, mentre si è distratti o di fretta. Questo implica che si abbassi la guardia e si risponda senza pensarci quando si riceve un messaggio in cui si chiede di fornire dati bancari o di riscattare un buono.
Tipologie di attacchi di smishing
Ogni attacco di smishing utilizza metodi simili, ma la presentazione può variare in modo significativo. Gli aggressori possono ricorrere a svariate identità e a tutta una serie di presupposti per alimentare questi attacchi via SMS.
Sfortunatamente, è praticamente impossibile stilare un elenco completo delle tipologie di smishing a causa della continua innovazione di questi attacchi. Basandoci su una serie di presupposti prestabiliti per le truffe, possiamo indicare alcune caratteristiche per aiutarti a individuare un attacco di smishing prima di diventarne tu stesso vittima.
Ecco alcuni presupposti comuni per gli attacchi di smishing:
Smishing legato al COVID-19
Le truffe di smishing legate al COVID-19 sono basate su programmi di sostegno legittimi ideati da governi, organizzazioni del settore sanitario ed enti finanziari per agevolare la ripresa dalla pandemia di COVID-19.
Gli aggressori hanno utilizzato questi schemi per manipolare i timori delle vittime riguardo alla salute e alle finanze nell'intento di commettere una truffa. I segnali di allarme possono includere:
- Tracciamento dei contatti che richiede informazioni sensibili (codice fiscale, numero di carta di credito, ecc.)
- Agevolazioni finanziarie basate sulle tasse come i sussidi.
- Aggiornamenti di sicurezza per la sanità pubblica.
- Richieste di completamento di censimenti.
Smishing legato ai servizi finanziari
Gli attacchi di smishing legati ai servizi finanziari sono mascherati da notifiche provenienti da istituti finanziari. Praticamente chiunque utilizza servizi bancari e di carte di credito, esponendosi così alla ricezione di messaggi generici e provenienti dalle diverse istituzioni. Anche i prestiti e gli investimenti sono presupposti comuni in questa categoria.
L'autore dell'attacco si presenta come istituto bancario o finanziario di altro tipo per mettere in atto una truffa di carattere finanziario. Le caratteristiche di una truffa di smishing legata ai servizi finanziari possono includere una richiesta urgente di sbloccare il conto, la necessità di verificare attività sospette riguardo al conto e così via.
Smishing legato a omaggi
Lo smishing legato agli omaggi suggerisce la possibilità di ottenere prodotti o servizi gratuiti, spesso da un rivenditore o da un'altra azienda affidabile. Può trattarsi di omaggi gratuiti, premi fedeltà o altre offerte di questo tipo. Quando un aggressore sollecita il tuo interesse facendo leva sull'idea di "gratuità", il risultato è che contro ogni logica procedi all'azione immediatamente. Alcuni segnali di questo attacco possono includere offerte a tempo limitato o buoni omaggio per una cerchia esclusiva di persone.
Smishing legato a conferme di ordini o fatture
Questo tipo di smishing implica una falsa conferma di un recente acquisto o una fattura contraffatta per un servizio. Può essere fornito un collegamento a un ulteriore messaggio per suscitare la tua curiosità o essere richiesta un'azione immediata per provocare il timore di modifiche indesiderate. Tra i segnali che indicano questo tipo di truffa rientrano stringhe di testo di conferma dell'ordine o la mancanza del nome dell'azienda.
Smishing legato all'assistenza clienti
Gli autori di un attacco di smishing legato all'assistenza clienti si spacciano per rappresentanti del servizio di supporto di un'azienda affidabile intervenuti per aiutarti a risolvere un problema. I nomi più comuni che vengono sfruttati per questo tipo di attacco sono quelli di aziende hi-tech o di e-commerce come Apple, Google e Amazon.
In genere, il cybercriminale si presenterà dicendo che è stato rilevato un errore nel tuo account e ti spiegherà come risolverlo. Può trattarsi di una semplice richiesta come visitare una pagina di accesso fraudolenta, mentre schemi più complessi possono richiedere di fornire un codice di recupero reale dell'account nel tentativo di ripristinare la tua password. I campanelli di allarme di uno schema di smishing legato all'assistenza clienti includono un problema con una fattura o con l'accesso all'account, un'attività insolita o la risoluzione di un recente reclamo.
Esempi di smishing
Dal momento che gli SMS arrivano praticamente a chiunque abbia un telefono cellulare, gli attacchi di smishing avvengono a livello globale. Ecco alcuni esempi di attacchi di smishing che dovresti conoscere.
Truffa dell'accesso anticipato all'iPhone 12 di Apple - Smishing legato a omaggi e conferme di ordini
Nel settembre 2020, ha preso piede una campagna di smishing che adescava gli utenti inducendoli a fornire i dettagli della carta di credito per ottenere un iPhone 12 gratis.
Questo schema partiva dal presupposto di una conferma dell'ordine con un SMS che informava che la spedizione era stata inviata a un indirizzo errato. L'URL contenuto nel testo reindirizzava quindi le vittime a uno strumento di phishing mascherato da chatbot Apple. Lo strumento guidava la vittima attraverso la procedura per richiedere l'iPhone 12 gratuito nell'ambito di un programma di prova ad accesso anticipato, ma finiva inevitabilmente per chiedere le informazioni della carta di credito per coprire le spese di spedizione.
Truffe USPS e FedEx - Smishing legato a omaggi e conferme di ordini
Nel settembre 2020, hanno iniziato a circolare segnalazioni di una truffa via SMS di una falsa spedizione FedEx e USPS. Questo attacco di smishing tentava di sottrarre le credenziali degli account per diversi servizi o le informazioni delle carte di credito.
I messaggi segnalavano una mancata consegna o una spedizione a un indirizzo errato e fornivano un collegamento a un sito Web con uno strumento di phishing che simulava un sondaggio di FedEx o USPS con premi fittizi. Per quanto i presupposti di questi siti di phishing possano variare, molti sono stati identificati come tentativi di raccogliere le credenziali degli account per servizi come Google.
Truffa del test online obbligatorio per il COVID-19 - Smishing legato al COVID-19
Nell'aprile 2020, il Better Business Bureau ha riscontrato un aumento nel numero di segnalazioni riguardanti SMS presuntamente provenienti dal Governo degli Stati Uniti che richiedevano agli utenti di sottoporsi a un test obbligatorio per il COVID-19 attraverso un sito Web collegato.
Naturalmente, molti hanno subodorato immediatamente la truffa dal momento che non esistono test online per il COVID-19. Tuttavia, i presupposti alla base di questi attacchi di smishing possono evolversi facilmente dal momento che alimentare il timore della pandemia è un metodo efficace per tormentare il pubblico.
Come prevenire lo smishing
La buona notizia è che è facile proteggersi dalle potenziali ramificazioni di questi attacchi. Ci si può tenere al sicuro non facendo proprio nulla. In sostanza, gli attacchi possono creare danni solo se si abbocca all'esca.
Detto questo, è opportuno ricordare che i messaggi SMS sono un metodo legittimo con cui rivenditori e istituzioni possono contattarti. Non tutti i messaggi vanno ignorati, ma devi agire con prudenza a prescindere.
Ci sono alcune cose da tenere a mente per proteggersi da questi attacchi.
- Non rispondere. Anche la richiesta di rispondere scrivendo “STOP” per annullare l'iscrizione può essere uno stratagemma per identificare i numeri di telefono attivi. Gli aggressori fanno leva sulla tua curiosità o sul senso di ansia che la situazione crea, ma puoi rifiutarti di lasciarti coinvolgere.
- Prenditi il tuo tempo anche se un messaggio è urgente. Dovresti interpretare eventuali aggiornamenti urgenti degli account o offerte speciali a tempo limitato come segnali di un possibile smishing. Diffida sempre e procedi con cautela.
- Chiama direttamente la banca o il commerciante in caso di dubbio. Le istituzioni legittime non richiedono aggiornamenti degli account o informazioni di accesso tramite SMS. Inoltre, eventuali solleciti urgenti possono essere verificati direttamente dagli account online o tramite un canale di supporto telefonico ufficiale.
- Evita di utilizzare collegamenti o informazioni di contatto presenti nel messaggio. Non usare collegamenti o informazioni di contatto contenute in un messaggio se ti sembrano sospetti. Se possibile, vai direttamente ai canali di contatto ufficiali.
- Controlla il numero di telefono. Numeri di telefono dall'aspetto anomalo, come quelli a 4 cifre, possono indicare servizi che inviano SMS dalle caselle e-mail. È una delle tante tattiche utilizzate dai truffatori per mascherare i loro veri numeri di telefono.
- Non conservare mai i numeri delle carte di credito sul telefono. Il modo migliore per evitare che le informazioni finanziare vengano rubate da un wallet digitale è non conservarle mai lì.
- Utilizza l'autenticazione a più fattori (MFA). Una password esposta può essere comunque inutile per l'autore dell'attacco di smishing se l'account violato richiede una seconda "chiave" per la verifica. La variante più comune dell'autenticazione MFA è quella a due fattori (2FA), che spesso utilizza un codice di verifica tramite SMS. Sono disponibili anche varianti più avanzate che includono l'uso di un'app dedicata per la verifica (come Google Authenticator).
- Non fornire mai una password o un codice di recupero dell'account tramite messaggio. Sia le password che i codici di recupero tramite SMS per l'autenticazione a due fattori (2FA) possono compromettere il tuo account se finiscono nelle mani sbagliate. Non dare mai queste informazioni a nessuno e utilizzale solo sui siti ufficiali.
- Scarica un'app anti-malware. Prodotti come Kaspersky Internet Security for Android sono in grado di proteggerti da app dannose, oltre che dai collegamenti di phishing stessi contenuti negli SMS.
- Segnala tutti i tentativi di phishing via SMS alle autorità preposte.
Non dimenticare che, come il phishing tramite e-mail, lo smishing è un reato di frode: si basa sulla capacità di ingannare la vittima inducendola a fare clic su un collegamento o a fornire informazioni. Il modo più semplice per proteggersi da questi attacchi è non fare proprio nulla. Se non rispondi, un messaggio di testo pericoloso non può fare nulla.
Cosa fare se diventi vittima di smishing
Gli attacchi di smishing sono subdoli e potresti esserne già stato vittima, quindi dovresti avere in mente un piano di ripristino.
Adotta questi provvedimenti importanti per limitare i danni di un tentativo di smishing andato a buon fine:
- Segnala l'attacco sospetto a eventuali istituzioni in grado di assisterti.
- Blocca il tuo credito per evitare eventuali frodi future o in corso basate sul furto di identità.
- Cambia tutte le password e i PIN degli account dove possibile.
- Monitora le tue finanze, il credito e i vari account online per verificare che non ci siano accessi da posizioni insolite o altre attività.
Ognuno di questi passaggi ha un'importanza fondamentale per la tua protezione dopo un attacco di smishing. Tuttavia, segnalare un attacco non solo ti aiuta a rimetterti in sesto, ma fa in modo che anche altri non ne siano vittime.
Collegamenti correlati: