Smishing: cos’è e come funziona
Nell’era delle app di messaggistica e dei social media, gli SMS sono sempre meno popolari, ma questo non significa che non vengono più utilizzati o che siano uno strumento di comunicazione a cui bisogna smettere di prestare la giusta attenzione.
I messaggi di testo sono infatti il mezzo preferito da molti artisti della truffa, in quanto possono essere utilizzati per colpire un’ampia gamma di utenti con poco sforzo. Questa forma di criminalità informatica è nota con il nome di smishing, un cyber attacco che avviene tramite i servizi di messaggistica breve, più semplicemente noti come SMS.
Smishing: significato e differenze con phishing e vishing
Oggi, la maggior parte delle persone ha familiarità con gli attacchi di phishing, in cui i truffatori, fingendo di essere un’azienda o altre entità affidabili, inviano e-mail dannose con l’obiettivo di ottenere informazioni sensibili, come password e numeri di carta di credito, da vittime ignare.
Un attacco di phishing, quindi, si verifica quando un cybercriminale sfrutta la fiducia dell’utente per indurlo a commettere un errore di sicurezza informatica e persuaderlo a condividere informazioni personali importanti tramite e-mail.
Queste tattiche sono utilizzate anche nello smishing, ma attraverso i messaggi di testo al posto delle e-mail. L’origine del termine smishing deriva dalla combinazione di SMS e phishing, poiché ne eredita tutte le caratteristiche principali, come l’inganno e le tecniche di social engineering.
Proprio come avviene negli attacchi di phishing, i truffatori dello smishing cercano di ingannare l’utente per indurlo a fornire informazioni personali fingendo di essere una persona o un’azienda fidata. Potrebbero chiedere il nome, l’indirizzo e-mail, il numero di carta di credito o, in alcuni casi, persino del denaro.
In definitiva, una truffa di smishing è facile da eseguire, difficile da rintracciare e molto pericolosa nell’impatto. Un attacco riuscito può potenzialmente esporre password, immagini, video e altri dati sensibili al cyber criminale e fungere anche da vettore di infezione se il messaggio include un link che indirizza le vittime a un sito web falso in cui viene chiesto di scaricare software che possono rivelarsi dannosi.
Infine, è necessario evidenziare anche un’altra differenza, quella tra smishing e vishing. Con il termine vishing, che deriva dall’unione tra le parole voice e phishing, si fa riferimento a un tipo di truffa in cui i criminali informatici utilizzano il VoIP (Voice over IP) per effettuare chiamate e rubare informazioni personali a persone ignare. Ad esempio, gli aggressori effettuano telefonate in cui si presentano come operatori del call center della banca dove la vittima designata ha un conto, con l’obiettivo di ottenere informazioni riservate come numeri di carte di credito, PIN o password.
Come funziona lo smishing?
Un attacco smishing fa credere alla vittima che i messaggi falsi siano in realtà legittimi e la fa interagire senza preoccupazioni con il link o l’allegato dannoso incluso nel messaggio.
Ecco quali sono le principali caratteristiche di questi attacchi:
- Contesto: i testi spesso imitano messaggi che potrebbero davvero provenire dalla banca, da un’azienda che conosciamo o un’altra entità affidabile. Ad esempio, possiamo ricevere un SMS che sembra provenire da un corriere e in cui veniamo informati che un pacco a nostro nome sta per essere consegnato e per rintracciarlo è necessario fare clic su un link incluso nel messaggio.
- Selezione del target: le vittime di questo tipo di attacchi possono essere scelti in modo casuale o selettivo. Nella maggior parte dei casi, tuttavia, i truffatori sono alla ricerca di obiettivi specifici che individuano sulla base di dati demografici, località o comportamenti dell’utente.
- Social engineering: gli attacchi di ingegneria sociale sfruttano le emozioni della vittima, come l’amore e la paura, per offuscarne il giudizio e raggiungere facilmente il loro obiettivo malevolo. È il caso, ad esempio, di quei messaggi che sembrano provenire da una persona cara, in cui si finge un’emergenza per indurre la vittima dell’attacco a inviare del denaro.
- Allegati e link dannosi: un messaggio di testo può contenere un allegato o un link dannoso che rimanda a un sito web falso. Aprendo l’allegato o cliccando sul link, un utente ignaro potrebbe essere facilmente infettato da malware come un ransomware.
Esempi di diversi attacchi di smishing
Per rendere ancora più chiaro che cos’è lo smishing e come funziona, ecco alcuni esempi di attacco che gli hacker utilizzano per rubare i dati personali delle loro vittime:
- “Abbiamo rilevato un’attività insolita sul suo conto. La preghiamo di chiamare questo numero per parlare con un rappresentante del servizio clienti”;
- “Hai vinto una carta regalo gratuita! Clicca qui per richiedere il premio”;
- “Abbiamo notato che lei è un nostro nuovo cliente. Per completare la configurazione del suo account, clicchi su questo link e inserisca i suoi dati personali”;
- “Urgente! Il suo conto bancario è stato compromesso. Clicchi su questo link per reimpostare la password e prevenire ulteriori frodi”;
- “Ehi, sono [nome di persona conosciuta e fidata]! Sono in difficoltà e avrei bisogno del tuo aiuto. Ti ho inviato un link al mio PayPal, potresti inviarmi del denaro?”.
Come difendersi dallo smishing?
Le truffe di smishing possono essere molto difficili da individuare, ma prestando attenzione ad alcuni aspetti si possono adottare le necessarie misure per proteggersi dai cyber criminali.
Ecco alcuni accorgimenti che possono rivelarsi molto utili nella guerra allo smishing:
- Diffidare di qualsiasi messaggio di testo che richieda informazioni personali o che includa un link;
- Osservare attentamente il nome e il numero del mittente. I messaggi fraudolenti provengono spesso da numeri che possono sembrare simili a quelli legittimi, ma con una o due cifre in meno;
- Cercare errori di ortografia o di grammatica. Questo può essere un altro segno che il messaggio non è genuino;
- Fare attenzione ai messaggi di testo che creano un senso di urgenza o sono di natura minacciosa. I truffatori spesso utilizzano queste tattiche per indurre le vittime ad agire rapidamente e senza riflettere;
- Se non si è sicuri che il messaggio ricevuto sia legittimo, è consigliabile contattare direttamente l’azienda o la persona che lo ha inviato, utilizzando solo le informazioni di contatto ufficiali e della cui attendibilità possiamo fidarci.