Che cos'è lo smishing (phishing via SMS)? Esempi e tattiche

Lo smishing rientra nel termine più ampio di phishing via SMS perché i truffatori possono utilizzare un servizio di messaggi brevi per ingannare le loro vittime al fine di ottenere l'accesso a informazioni personali, come password, denaro o forse il conto bancario di qualcuno. Creano messaggi che sembrano provenire da istituzioni affidabili, come banche, enti governativi o altre società rispettabili. Secondo la Federal Trade Commission (FTC), l'usurpazione dell'identità delle banche è la truffa più comune tramite SMS, rappresentando il 10% di tutti i messaggi di smishing.

Lo scopo principale dell'invio di messaggi di smishing è quello di indurre il destinatario a cliccare su link dannosi, a rivelare informazioni private attraverso una risposta o a scaricare malware o altri contenuti dannosi. Sebbene il messaggio sembri legittimo, è creato con l'ulteriori motivazioni di ottenere un vantaggio economico a spese di vittime ignare. Il vero motivo per cui i criminali informatici utilizzano sempre più spesso lo smishing per i loro attacchi è che i telefoni cellulari sono diventati quasi un accessorio indispensabile nella vita quotidiana e gli utenti sono più propensi a credere a un messaggio di testo che a un'e-mail.

In questo articolo esamineremo lo smishing in dettaglio: come funziona, come riconoscere i segnali di allarme e qual è la differenza tra lo smishing e il phishing tradizionale. Considereremo inoltre l'impatto che lo smishing ha sulle aziende, poiché gli attacchi possono persino culminare nella compromissione delle credenziali dei dipendenti o in violazioni dei dati su larga scala. Inoltre, vi sveleremo come i criminali informatici portano a termine un attacco di smishing, principalmente attraverso tattiche di impersonificazione e urgenza per ingannare la vittima.

Che cos'è lo smishing (phishing via SMS)?

Lo smishing è phishing specifico per telefoni cellulari e SMS/messaggi di testo. In questo tipo di attacco, vengono inviati messaggi dannosi ai telefoni cellulari, simili a quelli inviati da siti legittimi come banche, negozi o enti governativi. In questi casi, l'autore dell'attacco mira a indurre la vittima a cliccare su un link dannoso o a compilare un modulo con informazioni sensibili tramite messaggio di testo.

Tali truffe potrebbero portare al furto di identità, all'accesso non autorizzato ad account personali o aziendali e a frodi finanziarie. Con la crescente necessità di comunicazione mobile, lo smishing è emerso anche come uno dei canali più utilizzati dai criminali informatici che prendono di mira utenti innocenti.

Segni comuni dello smishing

I messaggi di smishing sembrano provenire da una fonte autentica; spesso provengono da organizzazioni di cui ti fidi ciecamente. Tuttavia, ci sono alcuni segnali che potrebbero indicare che si tratta di smishing. Ecco alcuni segnali comuni:

• Messaggi che richiedono di fare qualcosa con urgenza, come bloccare un conto bancario o non pagare qualcosa.
• Ricevi un link sospetto che richiede di accedere al tuo account o aggiornare alcuni dei tuoi dati.
• Richieste della tua password, del numero della carta di credito o del numero di previdenza sociale
• Errori ortografici e di punteggiatura. Questo potrebbe indicare che il mittente è un truffatore.
• Un numero di telefono che non sembra legittimo o professionale.

Differenza tra smishing e phishing

Lo smishing differisce dagli attacchi di phishing per il mezzo utilizzato per sferrare l'attacco. Mentre i tipici attacchi di phishing avvengono solitamente tramite e-mail, lo smishing avviene tramite messaggi SMS. I criminali informatici utilizzano una o entrambe le tattiche per impersonare organizzazioni legittime e approfittare della fiducia degli utenti nelle comunicazioni quotidiane.

Anche se l'obiettivo di entrambi gli attacchi è quello di acquisire dati informativi, gli approcci utilizzati per raggiungerlo e le strategie adottate possono essere molto diversi. È tuttavia molto importante comprendere ciascuno di questi approcci in modo da poter identificare gli attacchi e proteggersi da essi in modo efficace.

• Phishing: Phishing si verifica principalmente sotto forma di e-mail, in cui gli aggressori inviano messaggi contraffatti che sembrano provenire da diverse fonti affidabili come banche, rivenditori online o persino agenzie governative. Spesso contengono un invito all'azione incorporato, come cliccare su un link per aggiornare il proprio account, scaricare un allegato o inserire i propri dati personali. Le e-mail di phishing possono indirizzarti verso siti truffaldini che rubano le tue credenziali di accesso o scaricano malware sul tuo dispositivo. Nel corso degli anni, le persone sono diventate più consapevoli delle e-mail di phishing, rendendole quasi facili da individuare grazie a filtri e-mail migliorati e programmi di sensibilizzazione sulla sicurezza informatica.
• Smishing: Lo smishing (SMS phishing) avviene tramite messaggi di testo sui telefoni cellulari. Questi messaggi vengono visualizzati sui telefoni personali e quindi assumono un tono di maggiore urgenza e vengono inviati con un livello di sincerità che le e-mail di phishing non hanno. Poiché vengono utilizzati principalmente per comunicazioni rapide e dirette, gli utenti potrebbero non insospettirsi e probabilmente crederanno al messaggio o agiranno immediatamente. I messaggi di smishing potrebbero invitarti a cliccare sul link, a rispondere con informazioni personali o a chiamare un numero.

Impatto dello smishing sulle aziende

Gli attacchi di smishing riusciti causano perdite ingenti alle organizzazioni, come violazioni dei dati e interruzioni delle operazioni. Questo tipo di attacchi rappresenta un problema non solo per il singolo dipendente, ma anche per tutte le reti che potrebbero subire perdite finanziarie e di reputazione.

Ecco alcuni rischi che lo smishing comporta per le aziende:

• Perdita di dati sensibili: Gli attacchi di smishing possono portare al furto di credenziali sensibili dei dipendenti o di dati aziendali critici. Gli aggressori spesso utilizzano messaggi ingannevoli per sottrarre ai dipendenti informazioni di accesso, dettagli dell'account o altre informazioni sensibili. Dopo aver ottenuto l'accesso tramite tali credenziali, un aggressore malintenzionato può penetrare nel sistema aziendale, rubare informazioni riservate o utilizzarle per lanciare un attacco informatico molto più elaborato. Per le aziende che trattano dati riservati dei clienti o proprietà intellettuale, violazioni di questo tipo possono essere devastanti, causando problemi di conformità o conseguenze legali.
• Frode finanziaria: Gli attacchi di smishing portano direttamente a perdite finanziarie. Ad esempio, i ladri informatici possono travestirsi da dirigenti di alto livello o da reparti finanziari, utilizzando messaggi di testo molto convincenti che possono indicare richieste di qualche forma di trasferimento di fondi o richieste di autorizzazione al pagamento. Un trucco del genere può portare alla perdita di ingenti somme da parte dell'organizzazione a causa di dipendenti che non hanno familiarità con le caratteristiche comuni dello smishing. In alcuni casi, l'azienda potrà anche avere problemi con la richiesta di risarcimento assicurativo o non recuperare il denaro trasferito su un conto fraudolento.
• Danno alla reputazione: Un attacco riuscito danneggia gravemente la reputazione dell'azienda. Quando i clienti o i partner ritengono che l'azienda sia esposta a tali attacchi, potrebbero perdere la fiducia. Ad esempio, se una frode di smishing sfrutta un dipendente e porta alla fuga di informazioni sui clienti, ciò può causare proteste pubbliche, pubblicità negativa e persino perdite commerciali. Per un settore altamente regolamentato come quello finanziario o sanitario, la violazione di informazioni sensibili può anche portare a misure punitive. Ciò danneggerà ulteriormente lo status e l'immagine dell'azienda.
• Interruzioni operative: Le operazioni aziendali saranno gravemente interrotte dagli attacchi di smishing. Tale accesso può causare tempi di inattività del sistema, con gli aggressori che danneggiano sistemi cruciali o distribuiscono malware che compromettono la produttività e l'efficienza operativa. In alcuni casi, le aziende sono state costrette a chiudere parte delle loro attività per contenere la violazione e ridurre al minimo i danni conseguenti. Il ripristino dopo tali attacchi, che si tratti di ripristinare i sistemi, condurre indagini sulle violazioni o rafforzare i protocolli di sicurezza, è costoso e richiede tempo, sottraendo risorse preziose all'azienda.

Come funziona lo smishing?

Gli attacchi di smishing sono solitamente ben pianificati ed eseguiti con lo scopo di indurre la persona presa di mira a rivelare informazioni sensibili o ad accedere a un sito web di phishing. Queste truffe si basano sulla fiducia e sull'urgenza.

Fingono di creare un'urgenza immaginaria che spinga la vittima a reagire senza riflettere pienamente sui rischi. Ecco come avviene solitamente:

1. L'esca: L'attacco si presenta inizialmente come un messaggio di testo che sembra provenire da un'organizzazione affidabile, ad esempio una banca, un ente governativo, una società di spedizioni o un gigante della vendita al dettaglio. Questi messaggi sono generalmente redatti in modo da apparire il più ufficiali possibile, utilizzando loghi, linguaggio o formati familiari per convincere il destinatario che il messaggio proviene dall'organizzazione indicata. A questo punto, l'esca mira solo ad attirare l'attenzione della vittima e a convincerla della veridicità del messaggio.
2. L'esca: Il messaggio invita quindi il destinatario ad agire rapidamente, suscitando in lui un senso di urgenza o di paura. Potrebbe affermare che c'è un bisogno urgente di correggere un problema con il conto bancario, un pagamento mancato o un problema con la consegna. Il messaggio potrebbe richiedere alla vittima di cliccare su un link, chiamare un numero di telefono o rispondere con informazioni sensibili come credenziali di accesso o numeri di conto. Questa è la strategia chiave dello smishing perché costringe la vittima a reagire in base all'urgenza senza prendersi il tempo di verificare se il messaggio è autentico o meno.
3. L'inganno: Una volta che la vittima segue le istruzioni, viene indirizzata a un sito web falso che potrebbe sembrare quasi identico a quello reale. Il sito può richiedere dati personali come nomi utente, password o informazioni sulla carta di credito. A volte, il messaggio può causare il download di malware nel dispositivo della vittima invece di acquisire direttamente le sue informazioni. Il malware attende silenziosamente i comandi e acquisisce o ruba altre credenziali sensibili, aprendo persino la possibilità che un aggressore acceda in remoto al dispositivo.
4. Il furto: In questa fase o immediatamente dopo il furto dei dati, questo tipo di cyber-aggressore estrae quindi informazioni personali, conti finanziari o informazioni commerciali sensibili dalle vittime. Di solito, i dati rubati vengono poi venduti sul dark web e possono essere utilizzati in seguito per sfruttare ulteriormente la vittima, ad esempio tramite furto di identità, bonifici bancari non autorizzati o ulteriori attacchi ai sistemi delle aziende.

I sistemi di rilevamento basati sull'intelligenza artificiale, come quelli della piattaforma Singularity™, possono aiutare a identificare i tentativi di smishing in tempo reale, garantendo tempi di risposta più rapidi.

Tattiche di smishing comunemente utilizzate dai criminali informatici

Gli autori degli attacchi informatici utilizzano vari mezzi per far sembrare valido il messaggio di smishing e costringere il destinatario ad agire immediatamente. Fiducia, urgenza e curiosità sono metodi utilizzati dagli autori degli attacchi per indurre la vittima a rivelare le proprie informazioni personali o a partecipare ad altre azioni dannose tramite link dannosi.

Alcune delle tecniche di smishing utilizzate più frequentemente dagli aggressori includono:

• Sostituzione di identità: la più comune consiste nel creare un'immagine falsa utilizzando i nomi di marchi famosi come banche, negozi online o uffici governativi. I messaggi scritti come se provenissero da fonti affidabili, con loghi, parole e frasi familiari e informazioni di contatto che sembrano legittime, inducono il destinatario a credere che il messaggio sia affidabile e a fare ciò che viene richiesto, pensando di agire per conto di un'organizzazione affidabile.
• Urgenza e paura: i cybercriminali spesso creano un senso di urgenza o paura nella vittima. Ad esempio, i messaggi possono prevedere un allarme di sicurezza, la sospensione dell'account o qualche attività sospetta che richiede un'attenzione immediata. Indurre il panico incoraggerà le vittime a ignorare la cautela e a cliccare su un link o a fornire informazioni sensibili senza verificare se siano autentiche.
• Offerte allettanti: questo è un altro trucco comune che utilizza offerte allettanti come premi o buoni regalo in cambio di denaro, vendite esclusive o ricompense gratuite in cambio di denaro o informazioni. Il messaggio afferma che è allegato un premio o che un'offerta scadrà presto, ma solo in cambio di informazioni personali o di un clic. Una tale esca rafforza il desiderio di un premio o di uno sconto e rende le persone più vulnerabili alla truffa.
• Notifiche di consegna: questo è un altro metodo comune utilizzato dai truffatori, soprattutto durante le festività. Ad esempio, in questo periodo festivo, secondo il messaggio, è in arrivo un pacco o addirittura una consegna è in ritardo e si chiede al destinatario di seguire i dettagli di tracciamento cliccando su un link. Poiché molte persone aspettano una consegna in determinati momenti, questo sembra molto convincente, aumentando così le possibilità di coinvolgimento.

Come identificare un attacco di smishing

È piuttosto difficile riconoscere un attacco di smishing, ma ci sono alcuni segnali che consentono di distinguere un messaggio di testo ufficiale da uno che non lo è.

Se si è attenti e consapevoli di cosa cercare, ci sono buone possibilità di proteggersi da queste truffe. Ecco alcuni modi efficaci per identificare potenziali attacchi di smishing:

1. Controllare il numero del mittente: Una delle cose più importanti da fare quando si riceve un messaggio è cercare innanzitutto di identificare il numero da cui proviene. Gli spammer e i truffatori di solito inviano i loro messaggi da numeri di telefono sconosciuti o indesiderati che sembrano sospetti o addirittura spam. Se il numero non ti dice nulla e non è nella tua rubrica, e si tratta di un codice generico breve, allora sii molto cauto. Le organizzazioni legittime di solito corrispondono da numeri di telefono autenticati e registrati.
2. Cerca richieste inaspettate: Fai attenzione ai messaggi di testo che ti chiedono di fornire dettagli personali come password, numero di previdenza sociale o numero di carta di credito. Le organizzazioni legittime non richiedono tali informazioni tramite SMS. Se il messaggio richiede le tue informazioni personali e afferma anche che il tuo account deve essere autenticato senza preavviso, allora molto probabilmente si tratta di una forma di smishing.
3. Esamina attentamente i link: Se il messaggio contiene dei link, passaci sopra con il mouse senza cliccarci sopra per vedere l'URL a cui rimandano. Questo ti aiuterà a capire se ti stanno portando a un sito sospetto o addirittura sconosciuto. Controlla l'ortografia. L'ortografia dovrebbe essere la stessa del sito web ufficiale dell'organizzazione legittima. Non cliccare sui link provenienti da messaggi non richiesti, poiché ti porteranno a siti falsi il cui scopo principale è quello di rubare le tue informazioni.
4. Fidati del tuo istinto: Fidati del tuo istinto quando valuti un messaggio di testo. A volte, ti rendi conto che qualcosa non quadra o che il messaggio non ha senso per l'azienda chepotrebbe trattarsi di una truffa. Presta attenzione al tono e al linguaggio utilizzato nel messaggio. I tentativi di smishing contengono errori grammaticali o ortografici, che spesso rivelano la natura fraudolenta del messaggio. Chiama direttamente l'organizzazione se ritieni che qualcosa non sia corretto. Contattala attraverso i canali ufficialmente approvati. Vi faranno sapere se si tratta davvero di un loro messaggio o meno.

Come fermare lo smishing: migliori pratiche contro lo smishing

Esistono diverse migliori pratiche contro lo smishing per proteggere efficacemente le persone e le aziende dagli attacchi di smishing. Se desideri agire in modo proattivo e informarti, hai buone possibilità di ridurre al minimo i rischi associati al cadere vittima di queste truffe.

Alcune strategie efficaci che si possono mettere in pratica per fermare lo smishing includono:

1. Non cliccare sui link contenuti in messaggi di testo non richiesti o inattesi: Il miglior meccanismo per evitare lo smishing è quello di non cliccare mai sui link contenuti in messaggi di testo non richiesti o inattesi. Se ricevi un messaggio che ti chiede di cliccare su un link, aspetta un attimo e assicurati che provenga da una persona o un'organizzazione affidabile prima di cliccarci sopra. Cliccando su tali link potresti collegarti a siti dannosi che rubano le tue informazioni o installano malware sul tuo dispositivo.
2. Verifica il mittente: Nel caso in cui riceviate un messaggio sospetto che dichiara di provenire da un'organizzazione o da un'azienda, cercate di confermare il mittente contattando l'organizzazione tramite i canali ufficiali. Non rispondete al messaggio né utilizzate i recapiti forniti nel messaggio, poiché potrebbero essere fraudolenti. È prudente controllare i recapiti tramite i quali è possibile verificare l'autenticità del messaggio sul sito web ufficiale dell'azienda.
3. Non rispondere a messaggi sospetti: Non rispondere mai a messaggi che richiedono informazioni personali o finanziarie. Le organizzazioni legittime raramente richiedono dati sensibili tramite SMS. Un messaggio che richiede tali informazioni è probabilmente uno smishing. La cosa migliore da fare è semplicemente cancellare il messaggio.
4. Attiva i filtri antispam: Se il tuo dispositivo mobile supporta alcuni filtri antispam, attivalo. Il filtro antispam può limitare l'invasione della tua casella di posta da parte di messaggi indesiderati e ti consente di filtrare meglio le informazioni valide. La configurazione dei filtri antispam contribuisce anche a ridurre l'efficacia degli attacchi di smishing.
5. Segnalare lo smishing: Se ricevi un tentativo di smishing, segnalalo al tuo operatore o alle autorità locali. La maggior parte degli operatori dispone di meccanismi per segnalare i messaggi fraudolenti che possono aiutarli ad agire contro i truffatori. La segnalazione aumenta anche la consapevolezza e aiuta a proteggere gli altri da attacchi simili.
6. Educare i dipendenti: È fondamentale che le aziende istruiscano i propri dipendenti sui rischi dello smishing e su come identificarlo. I dipendenti dovrebbero essere formati frequentemente per renderli più vigili riguardo alle tecniche di smishing, ai segnali di allarme e alle misure di sicurezza adeguate per i dati riservati. I dipendenti istruiti sono forse la risorsa migliore per la cultura della sicurezza in un'organizzazione.

Esempi comuni di smishing

Conoscere i tipi di messaggi utilizzati dai criminali informatici negli attacchi di smishing vi aiuterà a identificare ed evitare situazioni indesiderate derivanti da tali truffe. Ecco alcuni degli esempi più comuni di messaggi di smishing che potreste incontrare:

1. Notifiche di blocco del conto bancario"Il tuo conto bancario è stato bloccato. Verifica la tua identità qui: [link dannoso]." Questo tipo di truffa crea un senso di urgenza. Ti convince che devi agire immediatamente per riottenere l'accesso al tuo conto. Il link normalmente ti porta a un sito di phishing dove i tuoi dati di accesso verranno rubati.
2. Avvisi di consegna pacchi“La consegna del tuo pacco è in ritardo. Clicca qui per riprogrammare la consegna: [link dannoso].” Questi messaggi fanno leva sull'esperienza comune di ricevere consegne di pacchi, specialmente durante le festività natalizie. La vittima viene invitata a cliccare su un link per risolvere il problema, ma questo la reindirizza direttamente al sito web truffaldino, che potrebbe richiedere le sue informazioni personali.
3. Notifiche di vincita“Hai vinto una carta regalo da 500 dollari! Richiedi ora il tuo premio all'indirizzo: [link dannoso]. Messaggi come questo sfruttano la credulità dei destinatari desiderosi di ottenere potenziali premi. Tuttavia, il link spesso rimanda a una pagina che richiede di inserire dati personali per poter ricevere il presunto "premio", mettendo così a rischio le tue informazioni.
4. Avvisi di attività sospette” Urgente: rilevata attività sospetta sul tuo account. Rispondi indicando il tuo nome utente e la tua password per proteggere il tuo account.” Messaggi di questo tipo creano un falso senso di sicurezza mentre ti chiedono di condividere direttamente informazioni sensibili. Le organizzazioni legittime non richiedono dati sensibili tramite messaggi di testo; quindi questo è un chiaro segnale di allarme.

Conclusione

Lo smishing rappresenta un rischio non solo per i singoli individui, ma anche per le aziende, pertanto è considerato una forma di minaccia grave e in rapida evoluzione nel mondo cibernetico. Poiché i criminali informatici evolvono continuamente le loro tattiche di truffa, è fondamentale essere sempre aggiornati su come funzionano queste truffe e su come individuare i potenziali pericoli. Conoscere i segni più comuni dello smishing tra le altre tattiche utilizzate dagli aggressori e il modo migliore per prevenirli vi consentirà di proteggere meglio le vostre informazioni personali.

Ricorda che le organizzazioni oneste non ti chiedono mai di fornire informazioni sensibili tramite SMS e presta molta attenzione ai messaggi di testo non richiesti. Sii consapevole e vigile e riuscirai a ridurre la tua propensione a cadere vittima di tali attacchi dannosi. Segnala l'evento alle autorità competenti se sospetti un attacco e agisci immediatamente per rafforzare la sicurezza dei tuoi account. Per una protezione completa contro lo smishing e altre minacce in continua evoluzione, scopri come Singularity™ Endpoint Security può rafforzare le tue difese su tutti i vettori di attacco.

Domande frequenti sullo smishing (phishing via SMS)