14 Ott Smishing: quando il phishing arriva per SMS

Il mobile è la nuova frontiera del cybercrime. Un utente mobile ha 18 volte più probabilità di essere esposto a un tentativo di phishing rispetto al malware: quando le persone sono sui loro cellulari, tendono ad abbassare la guardia. Molti utenti ritengono che il loro smartphone sia più sicuro del computer. Eppure, proprio canali meno controllati come SMS, Skype, WhatsApp, giochi e social media oggi vengono sfruttati su larga scala per distribuire link di phishing nei contesti più impensabili.

In effetti, secondo Cloudmark, oltre 48% degli attacchi di phishing avviene su dispositivi mobili e il numero di attacchi di phishing su smartphone raddoppia ogni anno. Il mobile phishing è così diffuso che ogni 20 secondi viene lanciato un nuovo tipo di attacco: si stimano più di 4.000 nuovi attacchi al giorno e questo non tiene conto dei milioni di pagine di phishing esistenti. [1]

Diamo uno sguardo allo smishing, una modalità di phishing effettuata tramite messaggi SMS.

Smishing: di cosa si tratta?

La parola smishing deriva dall’unione di “SMS”, ovvero i messaggi di testo che si inviano tramite cellulare, e “phishing”. Si tratta di una tipologia di attacco di ingegneria sociale che si basa sullo sfruttamento della fiducia umana piuttosto che sugli exploit tecnici.

Quando i cybercriminali fanno phishing, inviano e-mail fraudolente che cercano di ingannare il destinatario inducendolo a far aprire un allegato pieno di malware o ad aprire un link dannoso. Lo stesso avviene per lo smishing, che semplicemente usa gli SMS al posto delle e-mail. [2]

L’obiettivo è, come sempre accade con il phishing, quello di avere accesso alle informazioni personali e ai dati sensibili degli utenti, che possono poi essere utilizzati per commettere frodi o altri crimini informatici (inclusa la compromissione di account, sistemi e/o altri strumenti informatici personali o risorse organizzative).

In genere, lo scopo principale di un attacco smishing è il furto di denaro. Questo spiega perché gran parte dei messaggi che rientrano in questa tipologia di crimine informatico si fingono comunicazioni della tua banca, con la richiesta di informazioni personali o finanziarie come il tuo numero di conto o il tuo PIN.

Tuttavia, tieni presente che finte comunicazioni della banca non rappresentano l’unico modo di “presentare” un attacco di smishing. Ad esempio, i cybercriminali hanno ben approfittato della pandemia di Covid-19 per prendere di mira un numero elevato di utenti, inviando SMS con link a falsi aggiornamenti relative alla situazione sanitaria della loro regione o area di residenza, o per donazioni a organizzazioni no-profit, ecc.

Come prevenire lo smishing

Il modo più semplice di proteggersi da questi attacchi è di non fare assolutamente nulla, non reagire.

Finché l’azione richiesta nel messaggio non viene effettuata, un SMS fraudolento non può fare niente. Se viene ignorato, resterà innocuo.

Tieni a mente quanto segue per proteggerti dallo smishing.

• Fai attenzione agli SMS che richiedono una risposta o un’azione urgente. Prendi il tuo tempo, non agire d’impulso. Rimani scettico e prudente.
• Fai attenzione agli SMS contenenti una di queste parole: Account o conto, Sicur*, Verif*, Com-, Aggiornamento, Supporto, Service, Login, Aut*, Conferma. Queste sono le prime 10 parole chiave utilizzate per il phishing da dispositivi mobili. [3]
• Non rispondere. Anche le richieste di risposta come l’invio di un SMS con “STOP” per annullare un’iscrizione possono essere un pretesto per identificare se il tuo numero di telefono è attivo.
• Chiama direttamente la tua banca o l’esercente in caso di dubbio. Ricorda, eventuali avvisi urgenti possono essere verificati direttamente sul tuo conto bancario tramite l’online banking o tramite una linea telefonica ufficiale.
• Evita di utilizzare link o contatti indicati nel messaggio. Utilizza soltanto i canali di contatto ufficiali.
• Controlla il numero di provenienza del messaggio. Numeri di telefono insoliti, per esempio a quattro cifre, devono destare sospetto. I truffatori dispongono di diverse tattiche per mascherare il loro vero numero di telefono.
• Non tenere/memorizzare mai sul tuo cellulare informazioni relative al tuo conto bancario o ai tuoi strumenti di pagamento.
• Utilizza l’autenticazione forte. Una password esposta può risultare inutile agli autori dello smishing se l’account violato richiede un secondo elemento per la verifica. L’autenticazione forte è quella che richiede almeno due fattori di verifica, di cui spesso uno viene ricevuto proprio tramite SMS. In questa tipologia di protezione rientra anche la Strong Customer Authentication (SCA), da sempre utilizzata da MyBank per aumentare la sicurezza dei tuoi pagamenti tramite la sua soluzione di bonifico online immediato.
• Non fornire mai una password o un codice di ripristino dell’account tramite SMS. Sia le password che i codici di ripristino dell’autenticazione forte dei tuoi SMS possono mettere il tuo account nelle mani sbagliate. Non fornire mai queste informazioni, utilizzale esclusivamente sui siti ufficiali.
• Utilizza un’app anti-malware e attiva un servizio VPN, ove possibile.
• Segnala tutti i tentativi di smishing alle autorità competenti (come la Polizia Postale e delle Comunicazioni) e spargi la voce tra i tuoi conoscenti per aiutare gli altri a evitare di cadere nella trappola.

Lo smishing, come il phishing tramite e-mail, è un reato di frode.

Ricorda: la tua banca, cosí come MyBank, non ti invierà MAI un SMS con un link per aggiornare le informazioni del tuo conto o confermare PIN o altre credenziali.

 

 

[1] https://www.wandera.com/mobile-phishing-report/

[2] https://www.kaspersky.com/resource-center/threats/what-is-smishing-and-how-to-defend-against-it

[3] https://www.wandera.com/mobile-phishing-report/