Che cos’è lo smishing? Non cadere nella trappola delle truffe di phishing tramite SMS

Quale tipo di tecnica di phishing prevede l’invio di SMS allo smartphone di una potenziale vittima? La risposta giusta è “smishing”. Continua a leggere per scoprire perché questa minaccia online è spesso più efficace della sua controparte via e-mail, come si presenta la maggior parte degli attacchi di smishing e perché i criminali informatici sono disperatamente interessati al tuo numero di telefono. Al giorno d’oggi, non sempre i messaggi sono forieri di parole dolci. Cerca quindi di proteggerti da tutti i tipi di malware e persino dalle ultime minacce online con Avira Free Security.  

 

Che cos’è lo smishing? O forse intendi phishing? Oppure vishing? 

Ti ricordi la pesca vecchio stile, quando i pesci ingenui pensavano che i vermi si impiccassero di loro iniziativa nei corsi d’acqua, in attesa di essere mangiati? Se il pesce abbocca, le conseguenze sono terribili. Poi è arrivato un equivalente digitale terrestre: il phishing. Durante questo attacco online dannoso, i criminali informatici cercano di acquisire informazioni (come nomi utente, password, dati della carta di credito e persino denaro) fingendosi un’entità affidabile tramite e-mail. In questo modo, la comunicazione elettronica è diventata il “verme” grasso e, se sei un “pesce” ingenuo, penserai che ogni e-mail sia legittima e la morderai (cliccherai) felicemente. Meno noto è un tipo di phishing che prende di mira le vittime tramite SMS (Short Message Service) o messaggi di testo. Dall’unione di SMS e phishing è nato lo “smishing”, con gli stessi obiettivi. Il truffatore invia messaggi di testo ingannevoli per indurre le vittime a cliccare su link dannosi, ad aprire allegati dannosi e, infine, a condividere informazioni personali o finanziarie. Trattandosi di phishing in formato di SMS, il cellulare diventa il mezzo di attacco. Come i parenti basati su e-mail, questi messaggi ingannevoli cercano di apparire come provenienti da fonti legittime, come Amazon, PayPal, l’ufficio postale o l’ufficio delle imposte. “Il tuo account è stato bloccato”. “Qualcuno ha provato a reimpostare la tua password.” “È stata effettuata una richiesta per un nuovo beneficiario sul tuo conto”. Sfruttano il senso di urgenza per indurre i destinatari a eseguire un’azione specifica senza pensare troppo, spinti dalla paura, dalla rabbia o dalla semplice curiosità.

E purtroppo esiste anche il vishing. La comoda panoramica qui sotto può esserti utile se c’è un po’ di confusione. Lo smishing è solo uno dei cinque tipi comuni di attacco di phishing. Ecco come funzionano e come distinguerli. 

  1. Il phishing via e-mail è ancora il più comune. Di solito il truffatore registra un dominio falso che rispecchia quello reale e invia migliaia di richieste generiche. Fai attenzione ai saluti non personali e agli errori di ortografia nell’e-mail. Passando il mouse sopra l’indirizzo e-mail, noterai solitamente che potrebbe includere una sostituzione di carattere come una “r” invece di una “n”. A volte, il nome dell’organizzazione legittima appare in una forma alterata, come “amazonservice.com” invece di “amazon.com”: “Gentile cliente, il tuo account è stato bloccato…”
    Scopri come individuare i tentativi di phishing ed evitarli.
  2. Lo spear phishing è un’e-mail di phishing, ma realizzata su misura per una persona specifica per renderla più credibile. In questo caso, il truffatore ha fatto i compiti e ha scoperto dati personali, come il nome, l’indirizzo e il titolo lavorativo del destinatario:Gentile Dott. Rossi, è stata rilevata un’attività imprevista sul suo conto bancario e…”
  3. Il whaling è un’e-mail di phishing che prende di mira le alte sfere. Queste e-mail vengono solitamente indirizzate ai dirigenti senior e fingono di provenire dall’indaffarato CEO dell’azienda, che spesso chiede un favore. Il personale potrebbe essere troppo nervoso per non fare ciò che chiede il capo: “Ciao Rosa, sono all’aeroporto e non ho le credenziali di accesso alla VPN…”
  4. Lo smishing è un attacco sferrato tramite i cellulari e utilizza SMS per indurti a rivelare dati personali: “Clicca su questo link per tracciare il tuo pacco smarrito…”
  5. Il vishing, o phishing vocale, utilizza sempre i telefoni, ma invece di inviare SMS, i truffatori effettuano telefonate o chiamate automatiche, lasciano messaggi vocali o chiamano tramite VoIP (Voice over Internet Protocol). Se rispondi, potresti essere messo in contatto con un “agente” che naturalmente avrà bisogno dei tuoi dati personali: “Di recente sei stato coinvolto in un incidente stradale…”

Tutti i casi sopra menzionati hanno importanti caratteristiche in comune: Sono forme di ingegneria sociale, il che significa che sfruttano la nostra fiducia e ci manipolano psicologicamente, anziché usare la tecnologia per hackerare i nostri computer. Sono tutti tentativi di frode d’identità, ma differiscono nel modo in cui i truffatori ti contattano: tramite e-mail, SMS o telefono. Molte persone associano ancora il phishing solo alle e-mail, ma la realtà è che devi fare attenzione qualunque sia il mezzo che utilizzi per comunicare.

Scopri i due tipi di smishing e perché sono così popolari tra i criminali informatici

Anche nell’ambito dello smishing esistono due tipi diversi. Innanzitutto c’è lo smishing tramite SMS di cui sei già un esperto dopo aver letto attentamente la sezione precedente. Ti verrà chiesto tramite SMS di cliccare su un link o di chiamare un numero. Ne esistono di vari tipi, a seconda di chi impersona il truffatore.

I puristi potrebbero sostenere che lo smishing tramite messaggistica istantanea non è veramente smishing in quanto utilizza programmi di messaggistica istantanea gratuiti come Facebook Messenger o WhatsApp al posto degli SMS. L’intento è indiscutibilmente di tipo “phishing”, poiché l’obiettivo dell’attacco è quello di indurti a fornire dati personali, tra cui password e/o numeri di carte di credito, all’autore della minaccia. Potrebbero convincerti promettendo un’offerta speciale o un premio. Se il messaggio proviene da uno sconosciuto, è un buon indicatore che potresti essere il bersaglio di una truffa, ma ricorda che questi attacchi possono anche sembrare provenienti da persone che conosci e con cui hai dei contatti. Il loro account sui social media potrebbe essere stato hackerato. Non fidarti di nessuno ciecamente online, nemmeno di tua madre.

Lo smishing rimane una truffa popolare per diversi motivi, ovvero è relativamente facile falsificare un numero di telefono con un telefono usa e getta o utilizzare un software per inviare SMS tramite e-mail. Grazie allo schermo più piccolo sui dispositivi mobili, può essere più difficile notare i link pericolosi, né è possibile passare il mouse sopra il link per vedere dove porta. Nel 2020, la Federal Communications Commission (FCC) degli Stati Uniti ha lanciato un’iniziativa a livello di settore per impedire ai malviventi di truffare consumatori e aziende tramite chiamate automatiche e falsificazione illegale dei numeri di telefono. Le compagnie di telecomunicazioni in America hanno dovuto adottare il protocollo STIR/SHAKEN per l’autenticazione dell’ID chiamante ed è questo il motivo per cui quando ricevi chiamate sconosciute viene visualizzato il messaggio “probabile truffa/spam”. Tuttavia, non esclude gli SMS truffaldini, con grande sollievo dei criminali informatici.

Come funziona lo smishing

Il processo seguito per le truffe di smishing è simile al phishing via e-mail e combina tattiche tecnologiche e psicologiche per manipolare le vittime. In genere, gli autori dell’attacco informatico seguono questi passaggi:

  1. PASSAGGIO 1. Scelta delle vittime: innanzitutto, i criminali informatici selezionano i loro obiettivi. Possono scegliere i numeri da un elenco casuale in loro possesso oppure prendere di mira individui specifici in base ai dati ottenuti da precedenti violazioni. Queste informazioni sono spesso disponibili sul dark web.
  2. PASSAGGIO 2. Redazione del messaggio: creano un SMS che possa indurre una reazione specifica o un’emozione come paura, simpatia o curiosità. Questo messaggio solitamente include un invito all’azione (solitamente urgente). Clicca su questo link o chiama questo numero! Contattaci!
  3. PASSAGGIO 3. Recapito del messaggio: adesso è il momento di lanciare l’esca. Gli autori di questi attacchi informatici utilizzano spesso gateway SMS, che consentono a un computer di inviare e ricevere SMS da e verso un dispositivo mobile utilizzando la rete di telecomunicazioni globale. Un altro aiuto a disposizione dei truffatori sono gli strumenti di spoofing, che generano informazioni software e hardware studiate per ingannare i sistemi di monitoraggio. Scopri di più sui vari tipi di spoofing qui.
  4. PASSAGGIO 4. Interazione con la vittima: una volta ricevuto il messaggio, il truffatore è fortunato se la vittima interagisce con lui e compie l’azione prevista (come reclamare i soldi della lotteria che non ha vinto o chiamare il falso “tecnico” del supporto tecnico tramite il numero fornito). Le vittime potrebbero finire su un sito Web fraudolento dove forniscono i dati personali o finanziari o scaricano software dannoso sul loro dispositivo. Se chiamano un numero, potrebbero essere indotti con l’inganno a fornire informazioni private o a sostenere spese impreviste.
  5. PASSAGGIO 5. Truffa della vittima: se la vittima ha agito, è il turno dell’aggressore che, dotato delle informazioni necessarie, può mettere in atto qualsiasi tipo di truffa, tra cui il furto di identità e transazioni non autorizzate. Il truffatore potrebbe anche vendere i dati sensibili sul mercato nero o sfruttarli per altri attacchi mirati.
  6. PASSAGGIO 6. Evoluzione ed evasione: il lavoro del truffatore non finisce mai perché deve costantemente cambiare tattica, numeri di telefono e le tecniche usate per nascondere posizione e identità.

Esempi comuni di attacchi di smishing. 

Storie false. Persone travestite da poliziotti virtuali. Sotterfugi online. Benvenuti nel torbido mondo degli inganni tramite SMS. Fortunatamente, sei troppo intelligente per cadere in queste trappole. Abbiamo riassunto i travestimenti virtuali più comuni in modo da poter smascherare facilmente un truffatore.

Indipendentemente dai dettagli della truffa, noterai che i tentativi di smishing sono stereotipati. Contengono URL insoliti o numeri di telefono casuali che non seguono il tipico layout delle cifre o utilizzano una serie di numeri uguali. Spesso sono anche portatori di cattive notizie, o di un premio troppo bello per essere vero, e sottolineano l’urgenza. Ricorda: se ti mettono fretta, rallenta e pensaci due volte.

L’ascesa dello smishing

Da un rapporto degli esperti di telecomunicazioni ENEA risulta che il 61% delle aziende subisce perdite significative a causa delle frodi sui dispositivi mobili e che le frodi più diffuse e costose sono lo smishing e il vishing. Lo stesso rapporto mostra che dal lancio di ChatGPT nel novembre 2022, questi attacchi sono aumentati di un sorprendente 1.265%. Dato che gli SMS hanno un tasso di risposta otto volte superiore a quello delle e-mail, non c’è da stupirsi che sia uno degli strumenti preferiti dai criminali informatici. Infatti, Verizon segnala che l’85% degli attacchi di phishing proviene da canali diversi dall’e-mail, come app di messaggistica, social e di produttività.

Gli attacchi di smishing stanno conquistando il mercato dei malware, anche grazie alla mancanza di autenticazione del mittente degli SMS. Le aziende di telecomunicazioni devono fare di più, ma al momento nessuno è immune da questo assalto. Nel 2021 sono stati inviati milioni di SMS dannosi attraverso la rete Vodafone, infettando i dispositivi Android con il malware Flubot, spingendo il colosso delle telecomunicazioni a diramare un avviso tramite Twitter. È sempre fondamentale eseguire regolarmente la scansione dei dispositivi per individuare il malware ed eseguire test appositi. 

Per cliccare sul link è necessario un essere umano, quindi assicurati di seguire la nostra guida anti-smishing per evitare di diventare un inconsapevole complice del malware.

Guida alla sicurezza anti-smishing: azioni da eseguire se sei un destinatario di smishing

Puoi evitare di diventare una statistica dello smishing seguendo il nostro protocollo EVITA-PROTEGGI-ISPEZIONA e mantenendo un atteggiamento scettico.

Prima di eliminare un messaggio di smishing, valuta la possibilità di segnalarlo alle autorità locali preposte alla lotta al crimine informatico. Se ti trovi nel Regno Unito, puoi inoltrarlo gratuitamente tramite SMS al numero 7726, inviarlo tramite e-mail a report@phishing.gov.uk oppure compilare questo modulo online per segnalare una truffa o un sito Web sospetti. 

Difenditi dallo smishing e da altre truffe online con Avira

Lo smishing e altri attacchi di ingegneria sociale sfruttano gli errori degli utenti per avere successo. Sei solo un essere umano, ma hai validi aiuti a portata di mano. Aggiornati, sii vigile e implementa una suite per la protezione e la privacy online su più livelli per i tuoi dispositivi. Avira Free Security è un’ingegnosa combinazione di software per la privacy, la protezione e il miglioramento delle prestazioni in un’unica soluzione. Consente di memorizzare e gestire password complesse, aggiornare il software, ripulire ciò che rallenta il dispositivo e, naturalmente, di rimanere più sicuri online grazie a un antivirus affidabile.  

 

Questo articolo è disponibile anche in: IngleseTedescoFrancese

Exit mobile version