Smishing (SMS Phishing): Definizione, esempi e modi per prevenirlo
In che modo lo smishing si differenzia dagli attacchi di phishing tradizionali e come può evitare di cadere nella trappola dello smishing?
Key Points
- Gli attacchi di smishing si concentrano sul suo smartphone o tablet nello stesso modo in cui il phishing si rivolge alla sua e-mail.
- La messaggistica SMS è tra le forme di comunicazione più diffuse al mondo, il che la rende un bersaglio interessante per gli attacchi malevoli.
- Mascherati da un contatto fidato, da un sito web o addirittura da un'autorità statale, gli attacchi di smishing la costringono a condividere volontariamente informazioni sensibili.
La definizione di smishing è chiara se si considera la combinazione di due parole che la maggior parte delle persone conosce già: SMS e phishing. Purtroppo, la nefasta pratica dello smishing sta ingannando con successo innumerevoli utenti, spingendoli a condividere dettagli sensibili con i cyberattaccanti attraverso gli SMS.
In parole povere, un attacco di smishing si concentra sul suo smartphone o tablet nello stesso modo in cui il phishing si rivolge alla sua e-mail. Ma come avvengono questi attacchi, cosa li differenzia dai tradizionali attacchi di phishing e come può evitare di cadere nella trappola dello smishing?
Qui, trattiamo tutti i fatti cruciali che deve sapere sul phishing via SMS e come può riconoscere un SMS dannoso prima di fornire informazioni sensibili.
Che cos'è lo smishing?
Lo smishing funziona generalmente in due modi.
- Invio di un SMS al destinatario e richiesta di informazioni sensibili.
- Invio di un messaggio SMS a un destinatario che contiene un link dannoso.
Oggi la messaggistica SMS è tra le forme di comunicazione più popolari al mondo. L'enorme numero di messaggi inviati fa sì che i cyberattaccanti lo abbiano identificato come un obiettivo per gli attacchi malevoli alle aziende e ai privati. Ciò significa che lo smishing è una strada molto redditizia da esplorare per i cyberattaccanti.
Molte persone sono già a conoscenza del phishing via e-mail, ma con miliardi di smartphone e tablet in uso, pochi sono consapevoli della stessa minaccia rappresentata dallo smishing. Spesso questo è dovuto al fatto che il phishing via SMS è relativamente nuovo e, dal momento che abbiamo imparato a fidarci del mezzo, di solito minimizziamo i sospetti che potremmo avere sui danni che un messaggio di testo può creare.
A questo si aggiunge il fatto che i messaggi di smishing dovrebbero imitare il registro informale che utilizziamo all'interno del mezzo di comunicazione, con l'obiettivo di farla sentire abbastanza a suo agio da cliccare su un link o condividere informazioni.
In cosa si differenzia lo smishing dagli attacchi di phishing?
La differenza principale tra una truffa di smishing e un attacco di phishing è che vengono attuati su piattaforme diverse. Le truffe di phishing vengono sempre inviate tramite e-mail, che di solito sono più sofisticate, in quanto possono includere informazioni più fuorvianti e persino link malevoli nelle immagini o nel testo.
Gli attacchi di smishing, tuttavia, non sono meno pericolosi, in quanto sfruttano la nostra fiducia e familiarità con la piattaforma e il suo formato di risposta istantanea per indurci a condividere informazioni sensibili senza pensarci troppo.
Come funziona un attacco di smishing
Mascherato da fonte fidata, magari un contatto, un sito web che usa regolarmente o persino un'autorità controllata dallo Stato, potrebbe essere costretto a condividere volontariamente informazioni sensibili quando risponde a un SMS maligno che riceve. Spesso, ci sarà un limite di tempo che la esorta a rispondere immediatamente, e si potranno ricevere messaggi di testo successivi che le diranno che il tempo sta per scadere per risolvere il problema.
Questo tipo di pressione spesso porta gli utenti a soddisfare richieste minori, anche quando solo un frammento di informazione condivisa può essere sufficiente ai cyberattaccanti per accedere a dispositivi, reti e dati più critici. Il cyberattaccante può anche tentare di promuovere una maggiore fiducia, in modo che lei condivida più informazioni con il passare del tempo.
In alternativa, potrebbe essere indotto a scaricare un malware sul suo dispositivo che raccoglie dati senza che lei se ne accorga. Infine, potrebbe anche essere indotto a cliccare su un link che potrebbe richiedere informazioni riservate, che poi vengono ricevute dai criminali informatici.
Alla fine, tutte queste richieste appariranno nella sua casella di posta elettronica SMS come qualsiasi altro messaggio, rendendo difficile prepararsi a un attacco di smishing, a meno che non sia già a conoscenza della minaccia.
Cosa ci guadagna uno smisherman da un attacco di smishing?
Come tutti gli attori maligni nel settore della cybersecurity, gli smishers cercano vulnerabilità da sfruttare e ottengono dati personali, sia attraverso semplici ma fraudolente richieste di informazioni, sia utilizzando il malware installato sul suo dispositivo.
Questi dati possono essere utilizzati per rubare la sua identità, ottenere l'accesso alle password, compilare profili delle abitudini degli utenti e tracciarne il comportamento. Il punto fondamentale, tuttavia, è che i cyberattaccanti di solito mirano a rubare denaro, sia violando i conti bancari o delle carte di credito, sia chiedendo il riscatto di dati critici.
Segni che lei è vittima di un'imbroglio
L'identificazione dei segnali di un sospetto attacco può essere illustrata al meglio attraverso una serie di esempi di smishing.
Richieste di condivisione delle credenziali
Questo è forse il tipo più comune di truffa di smishing, poiché di solito è il più credibile per l'utente finale. Ad esempio, se riceve un SMS che richiede dati personali, come nomi utente o password, è un segnale di allarme immediato.
Di solito, un aggressore di smishing si finge una banca o un'altra fonte autorevole per sembrare più legittimo. Potrebbero anche suggerire che il suo conto è stato compromesso e che i suoi dati sono necessari per bloccare qualsiasi attività fraudolenta. Purtroppo, la realtà è che l'SMS è la frode.
Allo stesso modo, fonti presumibilmente affidabili possono chiederle di seguire un link per inserire informazioni o addirittura di chiamare un numero di telefono dove un rappresentante del servizio clienti "" prenderà i suoi dati. In ogni caso, la cessione di informazioni critiche significa successo per l'attaccante.
Richieste di scaricare il software
Un altro tipo di attacco di phishing via SMS si presenta sotto forma di richiesta di scaricare software, applicazioni o aggiornamenti sul suo dispositivo. Una volta installato, il malware opera all'interno del sistema operativo esistente, controllando funzioni specifiche e raccogliendo informazioni e dati sensibili.
Questo tipo di smishing spesso porta a dispositivi dirottati che i cyberattaccanti possono utilizzare per estrarre criptovalute. Anche se di solito solo una piccola parte della potenza di elaborazione è impegnata in questa attività, può causare un sovraccarico dei dispositivi e renderli inutilizzabili.
Richieste di trasferimento di denaro
Qualsiasi SMS che richieda un trasferimento di denaro dovrebbe far scattare immediatamente un campanello d'allarme. Tuttavia, gli attacchi di phishing via SMS sono diventati sempre più sofisticati nell'ultimo decennio, non affidandosi più al principe nigeriano che promette milioni, ma più spesso fingendo di essere una persona conosciuta.
I cyberattaccanti possono raccogliere informazioni dai suoi social media sulle persone più vicine a lei, appropriandosi persino del loro numero di telefono, per presentare una crisi che solo i contanti possono risolvere. Anche se viene richiesto un piccolo importo, il numero di truffe di smishing significa che i cyberattaccanti sono in grado di rastrellare molto denaro.
In alternativa, i truffatori di smishing possono assumere l'aspetto di un operatore di beneficenza, sfruttando la buona volontà delle persone per fare donazioni a organizzazioni caritatevoli inesistenti.
Come prevenire gli attacchi di smishing
Gli aggressori di smishing utilizzano un'ampia gamma di metodi per cercare di frodare il suo denaro o i suoi dati attraverso un SMS, e la migliore forma di prevenzione e protezione è sapere cosa cercare. In genere, ci saranno una serie di segnali rivelatori che la metteranno in guardia da un attacco di smishing. Ricorda:
- Non sia tentato di rispondere a richieste tempestive provenienti da fonti sconosciute.
- Diffidi dei link incorporati, in particolare quelli provenienti da persone che non hanno contatti.
- Controlli due volte il numero da cui riceve il messaggio e non risponda tramite SMS se sembra riconoscibile ma ha dei sospetti.
- Non memorizzi carte di credito, dati bancari o altre informazioni critiche sul suo telefono, perché il malware potrebbe accedervi.
- Le banche e le altre autorità non le chiederanno di confermare i dati sensibili tramite SMS. Questo è un segnale di allarme immediato.
- Cerchi strumenti avanzati in grado di rilevare attività sospette sui suoi dispositivi.
La linea di fondo
Con la crescita dell'uso degli smartphone, crescerà anche il numero e la sofisticazione degli attacchi di smishing. Pertanto, la vigilanza e l'educazione al loro sviluppo sono fondamentali per evitare questo tipo di attività dannose. Inoltre, segnalare sempre gli attacchi di phishing via SMS al suo provider di rete può aiutare a prevenire ulteriori attacchi in futuro.
**Questo blog è stato pubblicato originariamente il 3 gennaio 2023.
Si abboni a Cyber Resilience Insights per altri articoli come questi.
Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.
Iscriviti con successo
Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog
Ci terremo in contatto!