Quale tipo di tecnica di phishing prevede l’invio di SMS allo smartphone di una potenziale vittima? La risposta giusta è “smishing”. Continua a leggere per scoprire perché questa minaccia online è spesso più efficace della sua controparte via e-mail, come si presenta la maggior parte degli attacchi di smishing e perché i criminali informatici sono disperatamente interessati al tuo numero di telefono. Al giorno d’oggi, non sempre i messaggi sono forieri di parole dolci. Cerca quindi di proteggerti da tutti i tipi di malware e persino dalle ultime minacce online con Avira Free Security.
Che cos’è lo smishing? O forse intendi phishing? Oppure vishing?
Ti ricordi la pesca vecchio stile, quando i pesci ingenui pensavano che i vermi si impiccassero di loro iniziativa nei corsi d’acqua, in attesa di essere mangiati? Se il pesce abbocca, le conseguenze sono terribili. Poi è arrivato un equivalente digitale terrestre: il phishing. Durante questo attacco online dannoso, i criminali informatici cercano di acquisire informazioni (come nomi utente, password, dati della carta di credito e persino denaro) fingendosi un’entità affidabile tramite e-mail. In questo modo, la comunicazione elettronica è diventata il “verme” grasso e, se sei un “pesce” ingenuo, penserai che ogni e-mail sia legittima e la morderai (cliccherai) felicemente. Meno –noto è un tipo di phishing che prende di mira le vittime tramite SMS (Short Message Service) o messaggi di testo. Dall’unione di SMS e phishing è nato lo “smishing”, con gli stessi obiettivi. Il truffatore invia messaggi di testo ingannevoli per indurre le vittime a cliccare su link dannosi, ad aprire allegati dannosi e, infine, a condividere informazioni personali o finanziarie. Trattandosi di phishing in formato di SMS, il cellulare diventa il mezzo di attacco. Come i parenti basati su e-mail, questi messaggi ingannevoli cercano di apparire come provenienti da fonti legittime, come Amazon, PayPal, l’ufficio postale o l’ufficio delle imposte. “Il tuo account è stato bloccato”. “Qualcuno ha provato a reimpostare la tua password.” “È stata effettuata una richiesta per un nuovo beneficiario sul tuo conto”. Sfruttano il senso di urgenza per indurre i destinatari a eseguire un’azione specifica senza pensare troppo, spinti dalla paura, dalla rabbia o dalla semplice curiosità.
E purtroppo esiste anche il vishing. La comoda panoramica qui sotto può esserti utile se c’è un po’ di confusione. Lo smishing è solo uno dei cinque tipi comuni di attacco di phishing. Ecco come funzionano e come distinguerli.
- Il phishing via e-mail è ancora il più comune. Di solito il truffatore registra un dominio falso che rispecchia quello reale e invia migliaia di richieste generiche. Fai attenzione ai saluti non personali e agli errori di ortografia nell’e-mail. Passando il mouse sopra l’indirizzo e-mail, noterai solitamente che potrebbe includere una sostituzione di carattere come una “r” invece di una “n”. A volte, il nome dell’organizzazione legittima appare in una forma alterata, come “amazonservice.com” invece di “amazon.com”: “Gentile cliente, il tuo account è stato bloccato…”
Scopri come individuare i tentativi di phishing ed evitarli. - Lo spear phishing è un’e-mail di phishing, ma realizzata su misura per una persona specifica per renderla più credibile. In questo caso, il truffatore ha fatto i compiti e ha scoperto dati personali, come il nome, l’indirizzo e il titolo lavorativo del destinatario: “Gentile Dott. Rossi, è stata rilevata un’attività imprevista sul suo conto bancario e…”
- Il whaling è un’e-mail di phishing che prende di mira le alte sfere. Queste e-mail vengono solitamente indirizzate ai dirigenti senior e fingono di provenire dall’indaffarato CEO dell’azienda, che spesso chiede un favore. Il personale potrebbe essere troppo nervoso per non fare ciò che chiede il capo: “Ciao Rosa, sono all’aeroporto e non ho le credenziali di accesso alla VPN…”
- Lo smishing è un attacco sferrato tramite i cellulari e utilizza SMS per indurti a rivelare dati personali: “Clicca su questo link per tracciare il tuo pacco smarrito…”
- Il vishing, o phishing vocale, utilizza sempre i telefoni, ma invece di inviare SMS, i truffatori effettuano telefonate o chiamate automatiche, lasciano messaggi vocali o chiamano tramite VoIP (Voice over Internet Protocol). Se rispondi, potresti essere messo in contatto con un “agente” che naturalmente avrà bisogno dei tuoi dati personali: “Di recente sei stato coinvolto in un incidente stradale…”
Tutti i casi sopra menzionati hanno importanti caratteristiche in comune: Sono forme di ingegneria sociale, il che significa che sfruttano la nostra fiducia e ci manipolano psicologicamente, anziché usare la tecnologia per hackerare i nostri computer. Sono tutti tentativi di frode d’identità, ma differiscono nel modo in cui i truffatori ti contattano: tramite e-mail, SMS o telefono. Molte persone associano ancora il phishing solo alle e-mail, ma la realtà è che devi fare attenzione qualunque sia il mezzo che utilizzi per comunicare.
Scopri i due tipi di smishing e perché sono così popolari tra i criminali informatici
Anche nell’ambito dello smishing esistono due tipi diversi. Innanzitutto c’è lo smishing tramite SMS di cui sei già un esperto dopo aver letto attentamente la sezione precedente. Ti verrà chiesto tramite SMS di cliccare su un link o di chiamare un numero. Ne esistono di vari tipi, a seconda di chi impersona il truffatore.
I puristi potrebbero sostenere che lo smishing tramite messaggistica istantanea non è veramente smishing in quanto utilizza programmi di messaggistica istantanea gratuiti come Facebook Messenger o WhatsApp al posto degli SMS. L’intento è indiscutibilmente di tipo “phishing”, poiché l’obiettivo dell’attacco è quello di indurti a fornire dati personali, tra cui password e/o numeri di carte di credito, all’autore della minaccia. Potrebbero convincerti promettendo un’offerta speciale o un premio. Se il messaggio proviene da uno sconosciuto, è un buon indicatore che potresti essere il bersaglio di una truffa, ma ricorda che questi attacchi possono anche sembrare provenienti da persone che conosci e con cui hai dei contatti. Il loro account sui social media potrebbe essere stato hackerato. Non fidarti di nessuno ciecamente online, nemmeno di tua madre.
Lo smishing rimane una truffa popolare per diversi motivi, ovvero è relativamente facile falsificare un numero di telefono con un telefono usa e getta o utilizzare un software per inviare SMS tramite e-mail. Grazie allo schermo più piccolo sui dispositivi mobili, può essere più difficile notare i link pericolosi, né è possibile passare il mouse sopra il link per vedere dove porta. Nel 2020, la Federal Communications Commission (FCC) degli Stati Uniti ha lanciato un’iniziativa a livello di settore per impedire ai malviventi di truffare consumatori e aziende tramite chiamate automatiche e falsificazione illegale dei numeri di telefono. Le compagnie di telecomunicazioni in America hanno dovuto adottare il protocollo STIR/SHAKEN per l’autenticazione dell’ID chiamante ed è questo il motivo per cui quando ricevi chiamate sconosciute viene visualizzato il messaggio “probabile truffa/spam”. Tuttavia, non esclude gli SMS truffaldini, con grande sollievo dei criminali informatici.
Come funziona lo smishing
Il processo seguito per le truffe di smishing è simile al phishing via e-mail e combina tattiche tecnologiche e psicologiche per manipolare le vittime. In genere, gli autori dell’attacco informatico seguono questi passaggi:
- PASSAGGIO 1. Scelta delle vittime: innanzitutto, i criminali informatici selezionano i loro obiettivi. Possono scegliere i numeri da un elenco casuale in loro possesso oppure prendere di mira individui specifici in base ai dati ottenuti da precedenti violazioni. Queste informazioni sono spesso disponibili sul dark web.
- PASSAGGIO 2. Redazione del messaggio: creano un SMS che possa indurre una reazione specifica o un’emozione come paura, simpatia o curiosità. Questo messaggio solitamente include un invito all’azione (solitamente urgente). Clicca su questo link o chiama questo numero! Contattaci!
- PASSAGGIO 3. Recapito del messaggio: adesso è il momento di lanciare l’esca. Gli autori di questi attacchi informatici utilizzano spesso gateway SMS, che consentono a un computer di inviare e ricevere SMS da e verso un dispositivo mobile utilizzando la rete di telecomunicazioni globale. Un altro aiuto a disposizione dei truffatori sono gli strumenti di spoofing, che generano informazioni software e hardware studiate per ingannare i sistemi di monitoraggio. Scopri di più sui vari tipi di spoofing qui.
- PASSAGGIO 4. Interazione con la vittima: una volta ricevuto il messaggio, il truffatore è fortunato se la vittima interagisce con lui e compie l’azione prevista (come reclamare i soldi della lotteria che non ha vinto o chiamare il falso “tecnico” del supporto tecnico tramite il numero fornito). Le vittime potrebbero finire su un sito Web fraudolento dove forniscono i dati personali o finanziari o scaricano software dannoso sul loro dispositivo. Se chiamano un numero, potrebbero essere indotti con l’inganno a fornire informazioni private o a sostenere spese impreviste.
- PASSAGGIO 5. Truffa della vittima: se la vittima ha agito, è il turno dell’aggressore che, dotato delle informazioni necessarie, può mettere in atto qualsiasi tipo di truffa, tra cui il furto di identità e transazioni non autorizzate. Il truffatore potrebbe anche vendere i dati sensibili sul mercato nero o sfruttarli per altri attacchi mirati.
- PASSAGGIO 6. Evoluzione ed evasione: il lavoro del truffatore non finisce mai perché deve costantemente cambiare tattica, numeri di telefono e le tecniche usate per nascondere posizione e identità.
Esempi comuni di attacchi di smishing.
Storie false. Persone travestite da poliziotti virtuali. Sotterfugi online. Benvenuti nel torbido mondo degli inganni tramite SMS. Fortunatamente, sei troppo intelligente per cadere in queste trappole. Abbiamo riassunto i travestimenti virtuali più comuni in modo da poter smascherare facilmente un truffatore.
- Si spaccia per la banca o un altro fornitore di servizi:
“C’è un problema con il tuo conto bancario…” o “Abbiamo bloccato il tuo conto per motivi di sicurezza” sono esempi di queste notifiche false. Di solito ti verrà chiesto di controllare l’attività non autorizzata o di verificare i dati del tuo conto. Se clicchi sul link fornito, verrai indirizzato a un sito Web o a un’app falsi, progettati per rubare le tue informazioni riservate, come le credenziali di accesso o i dati della carta di credito e i PIN.
- Impersona un’autorità governativa:
“L’agenzia delle entrate ha aperto un fascicolo per evasione fiscale. Per altre informazioni, chiama…”. In questo caso l’aggressore si spaccia per un’autorità fiscale e potrebbe minacciare multe o pignoramenti oppure prometterti un rimborso fiscale. I truffatori si fingono anche poliziotti. Questi SMS sembrano ufficiali e richiedono un’azione immediata e informazioni personali.
- Si spaccia per la tua società telefonica:
“Come stimato cliente XX, hai ora diritto a un upgrade gratuito del tuo iPhone…”. Con lo smishing su cellulare, la vittima designata riceve quella che sembra un’offerta dal suo gestore di telefonia mobile, come uno sconto o l’upgrade del telefono. Clicca sul link per attivare l’offerta. Non farlo! Verrai indirizzato a una pagina Web contraffatta che sembrerà quella del tuo provider, ma i dettagli del tuo account verranno acquisiti non appena inseriti.
- Si spaccia per l’ufficio postale o uno spedizioniere:
“Il tuo pacco è in ritardo nel nostro magazzino. Per seguirlo, per favore…”. Che si tratti di FedEx, UPS o delle poste, i truffatori scelgono specifiche aziende di logistica e danno cattive notizie al “cliente”. Generalmente, si tratta di un problema con la consegna oppure viene richiesto di pagare una commissione.
- Offerta di assistenza clienti:
“Abbiamo rilevato un accesso al tuo account PayPal da un nuovo dispositivo il 27.04.2024 alle 15:10:07. Per favore conferma che eri tu…”. Gli aggressori possono essere esperti e spacciarsi per falsi addetti al servizio clienti di marchi e rivenditori affidabili, come Amazon o Microsoft. Di solito comunicano che c’è un problema con l’account della vittima o un rimborso non reclamato. Potrebbero anche offrire consigli per la risoluzione dei problemi.
- Si spaccia per il supporto tecnico:
“Il team responsabile della sicurezza Microsoft ha provato a contattarti in merito a un rischio per la sicurezza del tuo PC…”. Gli utenti ricevono un SMS che li avvisa di un problema con il loro dispositivo o account e che fornisce un numero di assistenza tecnica. Chiama questo numero a tuo rischio e pericolo, poiché potresti incorrere in spese impreviste o addirittura in furti di dati se concedi al “tecnico” l’accesso remoto al tuo dispositivo.
- Avviso di interruzione del servizio:
“La tua carta è stata rifiutata e il tuo abbonamento a X TV Premium verrà sospeso…”. L’aggressore avvisa la vittima che un servizio a cui è abbonata sta per essere annullato o è già stato limitato, solitamente a causa di un problema di pagamento. Ti invita a cliccare su un link per “risolvere” il problema.
- Annuncio di premi o vincite alla lotteria:
“CONGRATULAZIONI! Hai vinto. Richiedi il tuo premio in denaro prima del termine di scadenza”. Purtroppo non hai vinto niente, né alla lotteria, né a un’estrazione a premi. Per richiedere il tuo premio fittizio, dovrai fornire i tuoi dati personali, cliccare su un link dannoso o pagare una piccola commissione. Non riceverai nulla, ma potresti fornire informazioni sensibili o perdere denaro.
- Applicazioni pubblicitarie o di intrattenimento:
“Gioca oggi a Funky Chicken Bingo e ricevi 10 € di gettoni gratuiti. Scarica l’app ora all’indirizzo…”. Gli utenti ricevono un messaggio che promuove un’app utile o divertente. Cliccando sul link per il download si potrebbe scaricare software dannoso come il ransomware nel dispositivo.
- Emergenza o richiesta di aiuto truffaldina:
“Un tuo familiare ha avuto un incidente. Chiama questo numero a tariffa maggiorata per maggiori dettagli…”. Potrebbe trattarsi di un messaggio serio, come un SMS che segnala che una persona cara è stata ferita, o di una comunicazione innocua, come un’amicizia di Facebook che chiede un codice per riavere accesso al proprio account. Potrebbe trattarsi di una frode di autenticazione a più fattori (MFA), in cui un hacker è già in possesso del tuo nome utente e della tua password e ora vuole rubare il codice di verifica di cui ha bisogno. Potresti finire per inviare all’hacker il codice MFA per il tuo account.
Indipendentemente dai dettagli della truffa, noterai che i tentativi di smishing sono stereotipati. Contengono URL insoliti o numeri di telefono casuali che non seguono il tipico layout delle cifre o utilizzano una serie di numeri uguali. Spesso sono anche portatori di cattive notizie, o di un premio troppo bello per essere vero, e sottolineano l’urgenza. Ricorda: se ti mettono fretta, rallenta e pensaci due volte.
L’ascesa dello smishing
Da un rapporto degli esperti di telecomunicazioni ENEA risulta che il 61% delle aziende subisce perdite significative a causa delle frodi sui dispositivi mobili e che le frodi più diffuse e costose sono lo smishing e il vishing. Lo stesso rapporto mostra che dal lancio di ChatGPT nel novembre 2022, questi attacchi sono aumentati di un sorprendente 1.265%. Dato che gli SMS hanno un tasso di risposta otto volte superiore a quello delle e-mail, non c’è da stupirsi che sia uno degli strumenti preferiti dai criminali informatici. Infatti, Verizon segnala che l’85% degli attacchi di phishing proviene da canali diversi dall’e-mail, come app di messaggistica, social e di produttività.
Gli attacchi di smishing stanno conquistando il mercato dei malware, anche grazie alla mancanza di autenticazione del mittente degli SMS. Le aziende di telecomunicazioni devono fare di più, ma al momento nessuno è immune da questo assalto. Nel 2021 sono stati inviati milioni di SMS dannosi attraverso la rete Vodafone, infettando i dispositivi Android con il malware Flubot, spingendo il colosso delle telecomunicazioni a diramare un avviso tramite Twitter. È sempre fondamentale eseguire regolarmente la scansione dei dispositivi per individuare il malware ed eseguire test appositi.
Per cliccare sul link è necessario un essere umano, quindi assicurati di seguire la nostra guida anti-smishing per evitare di diventare un inconsapevole complice del malware.
Guida alla sicurezza anti-smishing: azioni da eseguire se sei un destinatario di smishing
Puoi evitare di diventare una statistica dello smishing seguendo il nostro protocollo EVITA-PROTEGGI-ISPEZIONA e mantenendo un atteggiamento scettico.
- Evita di cliccare su link o allegati sospetti, telefonare a numeri sconosciuti o rispondere in qualsiasi modo a SMS sospetti. Rispondere a un messaggio di smishing conferma che il tuo numero è attivo e potrebbe dare luogo a ulteriori attacchi.
- Proteggi i tuoi dati e il tuo dispositivo utilizzando l’autenticazione a due fattori o l’autenticazione a più fattori per tutti i tuoi account online, scaricando un software antivirus affidabile ed eseguendo regolarmente la scansione del tuo dispositivo per individuare eventuali malware, soprattutto se hai cliccato su un link sconosciuto. Utilizza password complesse e univoche e modificale rapidamente se ritieni che un account sia a rischio. E rispetta la regola d’oro: non fornire mai dati personali, come password, numeri di carte di credito, indirizzi o indirizzi e-mail tramite SMS.
- Ispeziona e verifica direttamente con i diretti interessati tutte le richieste provenienti da banche, fornitori di servizi e rivenditori. I truffatori sono degli esperti imitatori, quindi contatta l’istituzione che affermano di rappresentare e chiedi conferma. È una buona abitudine controllare regolarmente anche gli estratti conto bancari e l’attività della carta di credito. Se noti qualcosa di sospetto, avvisa la tua banca.
Prima di eliminare un messaggio di smishing, valuta la possibilità di segnalarlo alle autorità locali preposte alla lotta al crimine informatico. Se ti trovi nel Regno Unito, puoi inoltrarlo gratuitamente tramite SMS al numero 7726, inviarlo tramite e-mail a report@phishing.gov.uk oppure compilare questo modulo online per segnalare una truffa o un sito Web sospetti.
Difenditi dallo smishing e da altre truffe online con Avira
Lo smishing e altri attacchi di ingegneria sociale sfruttano gli errori degli utenti per avere successo. Sei solo un essere umano, ma hai validi aiuti a portata di mano. Aggiornati, sii vigile e implementa una suite per la protezione e la privacy online su più livelli per i tuoi dispositivi. Avira Free Security è un’ingegnosa combinazione di software per la privacy, la protezione e il miglioramento delle prestazioni in un’unica soluzione. Consente di memorizzare e gestire password complesse, aggiornare il software, ripulire ciò che rallenta il dispositivo e, naturalmente, di rimanere più sicuri online grazie a un antivirus affidabile.