Il tuo amico ti manda un messaggio a mezzanotte dicendoti che ha bisogno che tu compili un modulo con urgenza. Tu lo fai.
Non appena inserisci i tuoi dati, il giorno dopo non hai più sue notizie. Più tardi, scopri che il tuo account è stato hackerato e non riesci più ad accedere. Il mittente di quel messaggio non era il tuo amico quella notte, si è solo finto tuo amico e tu non hai mai sospettato nulla. Questo è il caso di molti attacchi di smishing. Questi messaggi sono abilmente camuffati e spesso sembrano troppo innocenti.
Il phishing utilizza la stessa tattica, ma tramite e-mail, forum o web. L'autore dell'attacco convince il destinatario a cliccare su link dannosi e cerca di attirarlo in trappola. Queste e-mail sembrano troppo legittime, ma non provengono da fonti riconosciute.
Fortunatamente, ti spiegheremo come evitare di cadere nelle loro trappole. In questa guida, chiariremo tutto ciò che c'è da sapere sullo smishing e sul phishing e approfondiremo ulteriori dettagli.
Che cos'è lo smishing?
Le chiamate e i messaggi di testo spam sono aumentati nel corso degli anni. Gli autori utilizzano link dannosi per compromettere le vittime, attirare gli utenti e tentare di indurli a divulgare informazioni sensibili. I messaggi di testo sono istantanei e gli utenti che sono veramente occupati dimenticano di verificare l'identità dei destinatari o di controllare la cronologia dei messaggi, cadendo così nelle loro trappole in pochi secondi. Gli hacker possono fingersi funzionari o entità legali per far sembrare legittimi i loro messaggi e compromettere così l'identità delle vittime. Possono utilizzare numeri locali per inviare messaggi di testo autentici e le vittime non sospetteranno di nulla. Alcuni hacker inviano persino messaggi di smishing da numeri sconosciuti e ogni minuto vengono inviati più di 1 miliardo di messaggi indesiderati!
Come funziona lo smishing?
Lo smishing è una forma di phishing via SMS e funziona in questo modo. Immagina di ricevere un messaggio che ti dice che devi reimpostare la password del tuo account PayPal al più presto. Oppure che sei stato bloccato dal tuo account e devi verificare la tua identità. Ricevete un SMS che vi chiede di cliccare su un link per risolvere il problema, aggiungendo che dovete seguire le istruzioni contenute nel messaggio.
La maggior parte degli utenti di dispositivi mobili non è consapevole di come funziona il phishing perché non è in grado di determinare l'autenticità di questi messaggi.
Lo smishing può causare perdite di dati per milioni di dollari. Secondo la divisione dell'FBI che si occupa delle denunce di crimini informatici, solo nel 2023 sono stati registrati oltre 2.800 casi di smishing che hanno causato perdite per 3 milioni di dollari. Uno studio di McAfee mostra che 1 americano su 4 è vittima di truffe fiscali. Se avete mai ricevuto messaggi di testo che vi chiedono di inserire un codice per l'autenticazione a più fattori in modo inaspettato senza che voi ne abbiate fatto richiesta, è probabile che si tratti di smishing!
I messaggi SMS hanno un tasso di apertura molto più alto rispetto alle e-mail e ad altre forme di comunicazione online. Questo li rende un bersaglio appetibile per truffatori e criminali informatici.
Che cos'è il phishing?
Il phishing è un tipo di attacco informatico in cui l'autore invia un'e-mail fingendo di essere un'entità ufficiale. Può manipolare emotivamente la vittima, instillare un senso di urgenza o manipolarla psicologicamente per indurla a fornire informazioni sensibili. Ciò che rende spaventoso il phishing è che a volte le vittime non sono in grado di individuare queste e-mail false e le considerano autentiche. Possono essere indotte a compiere azioni quali scaricare link dannosi, rispondere a richieste fraudolente o condividere informazioni riservate.
Come funziona il phishing?
Il classico schema di phishing prevede l'invio di e-mail di massa a gruppi o organizzazioni. Lo spear phishing è più mirato, in quanto l'autore dell'attacco prende di mira entità specifiche all'interno dell'azienda. Ad esempio, può essere impersonato un dirigente di un'azienda. Il criminale informatico può fingersi tale e tentare di contattare i dipendenti. I nuovi dipendenti che non ne sono a conoscenza spesso cadono nella trappola di queste e-mail e finiscono per interagire con il criminale informatico senza conoscere o accertare la sua vera identità.
Le tattiche di phishing si evolvono nel tempo, il che significa che l'autore dell'attacco può aggirare i tradizionali filtri e-mail e le misure di sicurezza. Possono eludere gli scanner di sicurezza critici, hackerare l'organizzazione, aumentare i privilegi e causare violazioni dei dati. E tutto ciò che serve è una semplice e-mail. Alcune e-mail possono anche includere note vocali o chiedere alla vittima di interagire con loro tramite note vocali o link di live streaming. I criminali informatici possono utilizzare deep fake basati sull'intelligenza artificiale e portare così le loro tattiche di impersonificazione a un livello superiore.
3 differenze fondamentali tra smishing e phishing
C'è una differenza tra phishing e smishing. Uno utilizza i messaggi telefonici e l'altro i canali di comunicazione e-mail per prendere di mira gli utenti. Entrambi operano con la stessa mentalità: sconvolgere l'utente con interazioni cariche di emotività e indurlo a divulgare informazioni critiche.
Se riuscite a evitare di farvi ingannare dalle tattiche di smishing e phishing e imparate a ignorarle, sarete molto più avanti. Ecco alcune differenze fondamentali tra phishing e smishing:
#1. Dispositivi bersaglio
Gli attacchi di phishing possono prendere di mira laptop, sistemi di rete, infrastrutture mobili, tablet e altri dispositivi elettronici. Lo smishing è limitato ai soli telefoni cellulari o smartphone. Tuttavia, lo smishing si sta evolvendo, poiché gli autori delle minacce utilizzano app di messaggistica come Telegram, Discord e Slack per prendere di mira gli utenti mobili.
#2. Link e allegati
I link di smishing possono reindirizzare l'utente a una linea operativa o chiedergli di chiamare l'autore dell'attacco per parlare con lui. Il phishing reindirizza semplicemente gli utenti a un sito web falso o richiede loro di compilare moduli web e inviare i propri dati personali. Le e-mail di phishing contengono solitamente allegati dannosi, mentre i messaggi di smishing contengono link dannosi e numeri di telefono.
#3. Metodi di comunicazione
Lo smishing utilizza messaggi di testo sui telefoni cellulari. Il phishing prende di mira qualsiasi computer o dispositivo che abbia accesso a client di posta elettronica.
Smishing vs Phishing: differenze chiave
Lo smishing e il phishing hanno metodi di consegna diversi, ma obiettivi di attacco simili. Entrambi mirano ad ottenere l'accesso non autorizzato a dati e risorse sensibili. Gli attacchi di smishing utilizzano messaggi di testo per instillare un senso di urgenza o spingere ad agire immediatamente. Il phishing avviene principalmente tramite e-mail o condividendo siti web fraudolenti. L'autore dell'attacco può condurre una ricognizione approfondita e profilare le proprie vittime per mesi prima di lanciare un attacco di spear phishing.
Ecco le principali differenze tra smishing e phishing:
| Smishing | Phishing |
|---|---|
| I messaggi di testo di smishing possono essere segnalati dal filtro antispam del telefono o finire nella cartella della posta indesiderata. | Le e-mail di phishing possono eludere il rilevamento umano e i filtri antispam. |
| Gli aggressori prendono di mira principalmente telefoni cellulari, smartphone, dispositivi mobili e qualsiasi comunicazione elettronica che utilizza messaggi di testo SMS. | Gli aggressori attirano le vittime solo attraverso canali di comunicazione e-mail. |
| Queste truffe possono assumere la forma di false lotterie, truffe finanziarie o messaggi di emergenza. | I truffatori possono inviare link a siti web o moduli web dannosi e chiedere alla vittima di visitarli. |
| L'obiettivo di un attacco di smishing è quello di rubare informazioni di identificazione personale e distribuire malware | Gli attacchi di phishing rubano le credenziali aziendali o tentano di assumere il controllo degli account a un livello più profondo all'interno dell'organizzazione. |
5 modi per evitare o eliminare gli attacchi di smishing e phishing
Ora che avete compreso i diversi modi in cui funzionano lo smishing e il phishing, potete adottare misure per evitare di cadere vittime di questi attacchi. Ecco cinque modi per evitare o eliminare gli attacchi di phishing e smishing:
- Siate vigili e scettici – Non rispondete a e-mail sconosciute. Rimani vigile quando interagisci online con chiunque. Verifica l'identità del mittente prima di rivelare qualsiasi informazione personale o numero di telefono. Non cliccare su alcun link o allegato.
- Implementa l'autenticazione a più fattori (MFA) – Aggiungi un ulteriore livello di sicurezza a tutti i tuoi dispositivi implementando l'autenticazione a più fattori. È migliore dell'autenticazione a due fattori e impedirà ai cybercriminali di dirottare il tuo hardware fisico nel caso in cui abbiano accesso ai locali.
- Istruisci i tuoi dipendenti – Non è sufficiente installare solo l'ultimo software antivirus o soluzioni di monitoraggio dello spyware. Gli aggressori non prendono di mira la tecnologia, ma le persone che la utilizzano. Crea una cultura della consapevolezza della sicurezza informatica all'interno della tua organizzazione e istruisci i tuoi dipendenti sulle varie strategie di ingegneria sociale. Spiega loro a cosa prestare attenzione e come individuare comportamenti sospetti online.
- Applicate regolarmente patch e aggiornamenti – È molto importante applicare regolarmente patch e aggiornamenti ai vostri sistemi software e hardware. Installate gli ultimi aggiornamenti per i vostri dispositivi mobili, firmware e applicazioni. Ciò contribuirà a prevenire potenziali bug o vulnerabilità nascoste che gli aggressori potrebbero sfruttare se li trovassero.
- Utilizzare soluzioni di monitoraggio delle minacce – È possibile utilizzare qualsiasi strumento anti-smishing o soluzione tecnologica anti-phishing per prevenire attacchi di smishing e phishing. Non sono infallibili, ma riducono drasticamente i rischi rilevando e filtrando le minacce. La quantità di supervisione manuale necessaria sarà molto inferiore.
Perché le organizzazioni devono proteggersi dalle truffe di smishing e phishing?
Il livello di consapevolezza globale sulle truffe di phishing e smishing è molto basso. Secondo il rapporto State of the Phish, solo il 22% degli utenti dichiara di essere a conoscenza di questi schemi dannosi. Le lacune di conoscenza sulle tattiche di smishing e phishing possono danneggiare la vostra resilienza informatica. Molti utenti non comprendono i limiti tecnici delle misure di sicurezza quando si tratta di identificare e prevenire automaticamente gli incidenti legati al malware.
Alcune vittime lasciano i loro dispositivi aperti e molti utenti non optano per blocchi biometrici o pin a quattro cifre. La connessione a reti WiFi pubbliche non protette e la trasmissione di dati aziendali attraverso di esse può presentare numerosi rischi per la sicurezza e problemi di privacy dei dati. Le reti non sono mai protette in modo assoluto e i criminali informatici possono intercettare i canali di comunicazione o studiare le loro vittime in modo occulto.
L'uso di smartphone e dispositivi elettronici è una seconda natura per i lavoratori più giovani. E a differenza dei millennial, non tutti sono consapevoli delle migliori pratiche di sicurezza informatica. L'automazione della sicurezza è positiva, ma il social engineering può pervadere tutto. I messaggi in arrivo sui telefoni cellulari non dispongono dei tradizionali sistemi di autenticazione o filtri antispam. E quando questi messaggi mescolano informazioni aziendali e personali, oscurano l'elemento di sospetto.Gli utenti mobili ricevono centinaia di messaggi ogni giorno e può essere difficile determinare in che modo gli autori delle minacce possano sfruttare le opportunità per rubare le loro informazioni.
Liberate la cybersicurezza alimentata dall'intelligenza artificiale
Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.
Richiedi una demoConclusione
È inoltre possibile verificare se vi è un improvviso aumento o diminuzione dei messaggi SMS in entrata o in uscita per determinare se si è vittime di minacce di smishing. Monitorare i gateway SMS per individuare potenziali anomalie e installare meccanismi anti-spoofing per proteggere i canali di messaggistica mobile.
Evitare di lasciarsi trasportare dalle emozioni e non reagire in modo impulsivo alle e-mail minacciose o a qualsiasi messaggio che sembri urgente. Prendete tempo, rilassatevi e non lasciatevi intimidire. Prendetevi il tempo necessario e usate il buon senso quando condividete o gestite informazioni sensibili.
Potete anche eseguire simulazioni di phishing sulla vostra infrastruttura per vedere quanto siete vulnerabili. Verificate con il vostro reparto Risorse Umane prima di farlo. Incoraggiate i vostri dipendenti a segnalare gli incidenti di phishing e fate in modo che si sentano abbastanza a loro agio da condividerli. Un altro buon consiglio è quello di consentire loro di segnalare in modo anonimo.
Ci auguriamo che la nostra guida vi aiuti a comprendere le differenze tra smishing e phishing. Potete contattare SentinelOne per ulteriore assistenza.
FAQs
Sia lo smishing che il phishing sono noti per mettere a rischio le informazioni personali e finanziarie. È fondamentale adottare misure di sicurezza per combattere entrambe le minacce.
Puoi controllare le impostazioni SMS del tuo telefono e attivare il filtro antispam. Blocca tutti i numeri sconosciuti o sospetti che cercano di contattarti. Attiva il filtro per bloccare automaticamente i messaggi provenienti da mittenti sconosciuti. Questa funzione è quasi sempre disponibile di default su tutti i telefoni.
Se un mittente utilizza un dominio pubblico come Gmail, è piuttosto ovvio che si tratta di un'e-mail di phishing. La maggior parte delle aziende ha un proprio dominio ufficiale. Un altro indizio rivelatore è se il nome del dominio è scritto in modo errato. Ad esempio, sentinl1.com invece di sentinelone.com
Se l'e-mail contiene errori grammaticali o ortografici, o menziona date e luoghi errati e altri errori nei dettagli che solo tu o i tuoi dipendenti conoscete dall'interno, anche questi sono chiari segnali.
Molti browser web dispongono di funzioni di sicurezza integrate che avvisano gli utenti della presenza di potenziali e-mail di phishing. Esistono estensioni gratuite per browser in grado di filtrare le e-mail di phishing in una certa misura. SentinelOne Singularity™ Platform è una soluzione completa che proteggerà i tuoi dispositivi mobili, server, endpoint, cloud, identità e utenti da vari schemi di phishing. È completamente scalabile e personalizzabile, ma non è gratuita a causa delle sue funzionalità avanzate.