Smishing: come difendersi dalle minacce che arrivano sul nostro smartphone

Le parole “SMS” e “phishing” si uniscono per formare il termine “smishing”, che si riferisce a un tipo specifico di attacco di phishing che utilizza i messaggi di testo ricevuti sullo smartphone.

Nel nostro mondo frenetico siamo oramai abituati a fare completo affidamento ai dispositivi connessi alla rete e ai nostri smartphone. Utilizziamo i nostri dispositivi mobili per pagare le bollette, comunicare via e-mail, effettuare operazioni bancarie online, fare la spesa e altro ancora.

Non capita quasi mai di imbattersi in qualcosa che non sia legato alla telefonia mobile. Sebbene ci abbiano semplificato le cose, hanno anche aumentato la nostra vulnerabilità alle intrusioni.

Lo smishing è una delle ultime tattiche che i criminali informatici stanno utilizzando per diventare più potenti. Un tipo di crimine informatico frequente e dannoso è lo smishing.Lo smishing è noto anche come intrusione guidata da SMS, furto con scasso ed estorsione. Iniziamo con una definizione di smishing prima di approfondire i meccanismi, le tattiche e le misure preventive dell’attacco.

Per difenderti adeguatamente dagli attacchi normativi e dai disastri di mercato, se hai esposizioni in criptovalute e DeFi leggi subito il nostro approfondimento per navigare senza paura durante la tempesta:
Sta arrivando l’Apocalisse DeFi e non ho niente da mettermi

Cos’è lo Smishing

Le parole “SMS” e “phishing” sono combinate per formare il termine “smishing”, che si riferisce a un tipo specifico di attacco di phishing che utilizza i messaggi di testo che ricevete sul vostro smartphone. Per convincervi a cliccare sul link fornito, i phisher via SMS vi inviano un messaggio con informazioni allettanti.

Se cliccate sull’indirizzo, verrete inviati a un sito web che imita un sito legittimo e che vi chiederà di inserire dati personali come ID utente, password o informazioni bancarie. Se lo fate, rischiate di essere vittima di criminali informatici che sfrutteranno le vostre informazioni per rubare denaro dal vostro conto bancario, effettuare furti di identità o compiere altre azioni nefaste.

Smishing: un particolare tipo di Phishing

Un esempio di cyberattacco è la truffa di phishing, che mira a colpire voi o la vostra azienda inviando link o messaggi dannosi tramite e-mail, SMS o telefonate.Se cliccate sui link o fornite informazioni personali al telefono, diventerete vittime di questi disonesti.

Gli schemi di phishing via SMS si presentano in molte varietà diverse. Di seguito sono elencate alcune delle tecniche di smishing più diffuse e utilizzate dagli hacker:

Le organizzazioni finanziarie, le banche o i fornitori di assicurazioni possono inviare messaggi di testo per avvisarvi di un problema urgente con il vostro conto.
messaggi che annunciano la vincita di una somma significativa di denaro, di un biglietto della lotteria o di offerte speciali. Le aziende online possono inviarvi un messaggio per chiedervi di confermare i vostri metodi di pagamento. Un altro espediente molto utilizzato sono  i messaggi di richiesta di donazioni da parte di vari enti di beneficenza, SMS di funzionari che richiedono informazioni sull’epidemia.

Smishing: come vengono perpetrate le truffe di phishing via SMS

Gli attacchi di smishing non sono difficili da realizzare, anzi sono piuttosto semplici.Gli aggressori inviano messaggi alle vittime designate utilizzando pochi strumenti. Prima di iniziare l’assalto, i truffatori raccolgono occasionalmente informazioni sulle loro vittime (truffa di ingegneria sociale).

Ecco una descrizione dettagliata di come si svolgono i tentativi di phishing via SMS:

• Per prima cosa si riceve un SMS dai truffatori online.
• Per assicurarsi che l’SMS provenga da una persona legittima, gli aggressori utilizzano numeri di telefono falsi.
• Per far sembrare reale il messaggio, il suo contenuto è legato al numero di telefono fittizio. Ad esempio, se i truffatori hanno utilizzato un numero di banca falso per contattarvi, vi chiederanno informazioni sul vostro conto corrente.
• Per ingannare l’utente e fargli credere che il messaggio di testo provenga da un sito web o da un servizio legittimo che utilizza, i truffatori chiederanno ulteriori informazioni dettagliate sull’utente una volta acquisite.
• Il contenuto dei messaggi di testo varia da situazione a situazione.Tutti i messaggi, tuttavia, hanno lo scopo di farvi sentire obbligati ad agire immediatamente, generando un senso di urgenza.
• L’imbroglio viene smascherato se si ignora il messaggio SMS. Tuttavia, se cliccate sul link, verrete portati su un sito web falso che sembra essere valido. Una volta arrivati sul sito, vi verrà presentata una delle due opzioni: o dovete fornire informazioni private o dovete scaricare un software.
• L’utente viene indotto a fornire informazioni private, come l’ID utente, i dati di accesso al lavoro, le informazioni bancarie, i dati della carta di credito, ecc.
• Vi verrà chiesto di scaricare un’applicazione sul vostro smartphone dal sito web. Gli aggressori avranno quindi accesso al vostro dispositivo. Potranno così tenere d’occhio ogni vostra mossa e rubarvi denaro, informazioni sul conto corrente e altro.

Quali sono gli elementi tipici della truffa Smishing

Sebbene la sostanza delle tattiche di phishing via SMS vari a seconda della situazione, tutte condividono le seguenti caratteristiche:

• Le truffe di smishing sono spesso uniche.
  Negli ultimi dieci anni, gli schemi di phishing hanno fatto notevoli progressi. Non inviano più messaggi chiaramente identificabili come truffe, bensì testi altamente specializzati, che rendono impossibile distinguere la truffa dalla comunicazione reale.
  Ad esempio, inviano SMS del tipo “la tua carta Atm è scaduta, clicca sul link per riattivarla ora” invece di messaggi come “hai vinto un biglietto della lotteria”. Questo dà a queste truffe un aspetto plausibile e invoglia a cliccare sul link.
• Le truffe di smishing includono link a siti web.
  Lo scopo degli SMS di smishing è quello di convincere i destinatari a compiere azioni ostili. Gli smisher inviano spesso messaggi con collegamenti a siti web.Il loro obiettivo è quello di convincervi a cliccare su un link che vi porterà a un falso sito web dove vi verrà chiesto di fornire informazioni sensibili.
  Talvolta potreste essere convinti da quel sito web a scaricare un software per il vostro dispositivo. Il malware dà agli aggressori pieno accesso al vostro PC o dispositivo mobile.
• Gli smisher creano un senso di urgenza.
  I phisher di SMS utilizzano questa tecnica perché funziona. Lo fanno evocando sentimenti di urgenza, come il terrore o l’avidità.L’utente si spaventa e reagisce prontamente agli aggressori che lo mettono in difficoltà.Non potete ignorare i messaggi specifici che gli smishers utilizzano.Potrebbero inviarvi un messaggio di testo che appare strano, come “il vostro conto ha subito un addebito”, e non potrete ignorarlo facilmente.I truffatori che praticano il phishing utilizzano numeri di telefono falsi.
  Gli hacker utilizzano anche tecniche di spoofing per le telefonate e le frodi via SMS, quindi non si tratta di un fenomeno che riguarda solo le e-mail.
  I truffatori inviano messaggi da numeri falsi per far apparire legittimi i loro attacchi. Lo spoofing consente agli aggressori di trasmettere comunicazioni agli obiettivi in modo anonimo, dando l’impressione che provengano da un’identità verificata.

Quanto sono rischiose le truffe di smishing

Gli SMS fraudolenti possono danneggiare la vostra azienda e la vostra persona. Sono una delle strategie di attacco spesso utilizzate dagli hacker perchéUno dei modi più semplici e meno costosi per ingannare i clienti è la frode via SMS.

I criminali informatici inviano messaggi di testo con link dubbi e informazioni apparentemente utili nel tentativo di indurvi a fidarvi del mittente e a cliccare sul link. Basta un solo errore per diventare vittima di questo smishing. Nel mondo moderno, tutti noi utilizziamo una serie di programmi per conservare i nostri dati sui nostri dispositivi mobili.

Il problema è che, poiché i dispositivi mobili spesso non dispongono di strumenti per identificare i messaggi di spam, non avvisano l’utente quando ne riceve uno. A seconda di come viene impostata la frode, i truffatori via SMS possono ottenere tutte le vostre informazioni quando cliccate sul link sospetto. Se il collegamento è stato configurato in tal senso, potreste perdere tutti i vostri dati.

Utilizzando i messaggi SMS per manipolare il personale, i criminali informatici possono danneggiare l’azienda. Potrebbero inviare messaggi al personale, fingendosi il vostro supervisore, per richiedere informazioni private sulla vostra azienda. Inoltre, possono utilizzare i messaggi SMS per ricattare il personale e indurlo a rivelare segreti aziendali.
Un singolo attacco di smishing può danneggiare irreparabilmente la reputazione della vostra azienda presso i clienti.I vostri clienti dipendono da voi per la protezione dei loro dati privati.Taglierebbero i ponti con la vostra azienda se un attacco di smishing li danneggiasse in qualche modo.

Come possiamo proteggersi dalle truffe di smishing

Come sapete, ci sono diversi modi per portare a termine le frodi di smishing. Di conseguenza, dovete mettere in atto una serie di tattiche per salvaguardare voi e la vostra azienda da tali frodi.

Come difendersi dagli attacchi di smishing:

• Ignorate i messaggi di testo con link che ricevete da numeri non identificati.
• Anche se il link sembra di vitale importanza per voi, non cliccatelo se aprite un messaggio di testo proveniente da uno sconosciuto.
• Se siete stati presi dal panico o dall’ansia di perdere o ottenere qualcosa, potreste aver cliccato sul link. Ma non fornite al sito web i vostri dati riservati (ID utente, password, informazioni bancarie). Tenete presente che la vostra banca o qualsiasi altro istituto affidabile non vi contatterà via SMS per richiedere le vostre informazioni private. Tuttavia, se avete già divulgato informazioni critiche su quel sito web, non perdete tempo e agite subito per rimuoverle.
• Contattate le autorità competenti in base alle informazioni fornite per segnalare lo spam e prevenire una perdita significativa per voi.
• Per evitare che in futuro vi vengano inviati messaggi, bloccate i numeri di telefono che vi sembrano spam.

Come proteggere la vostra azienda dalle truffe di phishing

Naturalmente, potete applicare praticamente tutte le idee di cui sopra per salvare la vostra azienda. Tuttavia, per proteggere la vostra azienda dovete adottare le seguenti ulteriori precauzioni di sicurezza:

• Individuare l’anello debole
  L’errore umano è la causa principale della maggior parte degli attacchi informatici. Di conseguenza, è necessario informare costantemente il personale su tutti gli attuali metodi informatici. Il personale reagirà con delicatezza a tutte le frodi se sarà informato di tutti i rischi presenti.
• Non lasciare punti di ingresso non necessari
  Come sapete, non tutti i vostri dipendenti hanno bisogno di accedere ai siti web, alle reti, ai database e ad altri sistemi cruciali della vostra azienda per svolgere le loro mansioni. Per questo motivo, è necessario progettare una strategia di limitazione degli accessi che consenta al personale di utilizzare solo le risorse necessarie per svolgere le proprie mansioni. In questo modo, si riduce la possibilità che i dati dell’azienda vengano esposti nel caso in cui uno dei dipendenti cada vittima degli smishers.
• Avvertire il prima possibile in caso di sospetti
  Se scoprite che qualcuno sta tentando di attaccare la vostra azienda, non limitatevi a tenerlo per voi, ma avvertite tutti i vostri collaboratori di stare in allerta.Devono stare attenti a tutte le frodi mentre sono al lavoro. Assicuratevi che la vostra azienda non richieda informazioni critiche ai clienti tramite messaggi di testo.

Conclusioni

Le truffe di smishing sono un problema persistente da molto tempo e difficilmente scompariranno presto. Gli attacchi di smishing sono tra i cyberattacchi più dannosi e pericolosi ed è necessario educare il personale sui danni che possono arrecare alla vostra azienda. Seguendo scrupolosamente le regole descritte sopra, potrete difendere voi stessi e la vostra azienda da questi attacchi di smishing.