Lo smishing, una combinazione delle parole “SMS” e “phishing”, è un tipo di attacco informatico che utilizza messaggi di testo per ingannare le persone. Gli aggressori smishing ingannano i loro obiettivi inducendoli a condividere dati sensibili, come credenziali o informazioni finanziarie, o a fare clic su collegamenti dannosi. Queste azioni vengono quindi sfruttate dall'aggressore per ottenere l'accesso non autorizzato alle reti, iniettando malware o ransomware o altri tipi di attività dannose.
Lo smishing è un tipo di phishing. Nella maggior parte dei casi si tratta di attacchi di phishing avvenire tramite posta elettronica. Tuttavia, lo smishing sfrutta l’uso diffuso dei telefoni cellulari e delle relative applicazioni di messaggistica ed esegue il phishing tramite messaggi mobili. Anche i messaggi di testo hanno solitamente un tasso di apertura elevato, il che avvantaggia anche gli aggressori. Infine, gli utenti percepiscono erroneamente i loro telefoni cellulari come sicuri e questo li rende meno sospettosi nei confronti dei messaggi di testo che li spingono a compiere varie azioni, il che aumenta le possibilità di un attacco riuscito.
Come funzionano gli attacchi Smishing?
Gli attacchi smishing sfruttano la fiducia e le vulnerabilità degli individui per ingannarli attraverso i loro telefoni cellulari. Ecco come funzionano gli attacchi smishing:
- Contatto iniziale – L’attaccante inizia l’attacco smishing. Questo viene fatto inviando un messaggio di testo al dispositivo mobile del bersaglio. Spesso il messaggio sembra provenire da una fonte attendibile, ad esempio un'organizzazione rispettabile o un contatto noto.
- Contenuti ingannevoli – Il messaggio smishing contiene contenuti fraudolenti progettati per attirare l'attenzione del destinatario e ottenere una risposta. Ciò potrebbe includere avvisi urgenti, notifiche di sicurezza, richieste accorate, offerte di omaggi, sconti, vincite alla lotteria e altro ancora.
- Urgenza e manipolazione – L'aggressore crea un senso di urgenza o sfrutta le emozioni del bersaglio per sollecitare un'azione immediata. Potrebbero sostenere che la mancata azione rapida comporterà conseguenze negative. Ad esempio, in caso di sospensione dell'account, problemi legali, perdite finanziarie o rischi per la salute.
- Richiesta di informazioni o azioni sensibili – Il messaggio smishing chiederà al destinatario di fornire informazioni sensibili. Ad esempio, password, dettagli della carta di credito o numeri di previdenza sociale. Oppure può chiedere alla vittima di fare clic su un collegamento dannoso o di scaricare un allegato dannoso.
- Sfruttamento e frode – Nel caso in cui il destinatario esegua l'azione richiesta, l'aggressore ottiene l'accesso a informazioni sensibili o installa malware sul dispositivo della vittima. Ciò può portare a furti di identità, frodi finanziarie, accessi non autorizzati, o ulteriore sfruttamento dei contatti della vittima.
Esempi di attacchi Smishing
Le truffe smishing possono essere eseguite con diversi falsi pretesti. Questi includono:
- Truffa con premi o lotterie – Messaggi che affermano che il target ha vinto un premio o una lotteria e che sono necessari dati personali o pagamenti per richiedere la vincita.
- Avvisi di sicurezza falsi – Sono stati presi messaggi che denunciavano attività sospette sull'account del destinatario, invitandolo ad agire immediatamente facendo clic su un collegamento o fornendo credenziali di accesso. Questi potrebbero includere conti finanziari, account di applicazioni e altro ancora.
- Codici AMF – Messaggi che richiedono alla destinazione di condividere il proprio codice di verifica MFA e quindi di accedere come utente.
- Informazioni sull'ordine – Messaggi contenenti informazioni false sugli ordini, come conformazioni, affermazioni che l'ordine è stato annullato e altro. Quando il destinatario fa clic sul collegamento, viene indirizzato a un sito falso che ruba le credenziali di accesso.
Come identificare e proteggersi dagli attacchi Smishing
Vigilanza e consapevolezza sono fondamentali per proteggersi dagli attacchi smishing. Ecco alcune pratiche da esercitare:
1. Rimani informato e allenati
Rimani aggiornato sulle ultime tecniche di smishing e sulle tattiche comuni utilizzate dagli aggressori. Acquisisci familiarità con i segnali d'allarme, come richieste urgenti, messaggi non richiesti o messaggi provenienti da numeri sconosciuti.
2. Verifica il mittente
Fai attenzione ai messaggi di testo ricevuti da numeri o individui sconosciuti o sconosciuti. Sebbene non tutti i mittenti sconosciuti siano indicativi di smishing, è buona pratica prestare attenzione e verificare l'identità del mittente in modo indipendente. Contatta direttamente l'organizzazione tramite il sito ufficiale o un numero di telefono verificato per confermare la legittimità del messaggio.
3. Cerca errori di ortografia e grammaticali
I messaggi smishing spesso contengono errori di ortografia, errori grammaticali o frasi imbarazzanti. Le organizzazioni fidate, come le banche, solitamente dispongono di standard di comunicazione. Il linguaggio sospetto in un messaggio di testo può essere un segnale di allarme.
4. Sii cauto nei confronti dei messaggi urgenti e non richiesti
Siate scettici nei confronti dei messaggi che richiedono risposte immediate o minacciano conseguenze negative in caso di mancata conformità. La maggior parte delle organizzazioni legittime non richiedono informazioni in questo modo.
5. Prestare attenzione ai collegamenti ipertestuali e alle richieste di informazioni personali
Evita di fare clic sui collegamenti forniti nei messaggi di testo, soprattutto se sembrano sospetti o portano a siti Web sconosciuti. Inoltre, sii scettico nei confronti dei messaggi che richiedono password, numeri di previdenza sociale, dettagli della carta di credito o qualsiasi altra informazione personale.
6. Installare il software di sicurezza
Installa un software di sicurezza sul tuo dispositivo mobile per rilevare e bloccare i tentativi di smishing. Queste applicazioni possono identificare e avvisarti di messaggi o collegamenti potenzialmente dannosi.
Evita gli attacchi di phishing con LayerX
LayerX lo è una soluzione per la sicurezza del browser, fornito come estensione, creata appositamente per proteggere applicazioni, dati e dispositivi da qualsiasi minaccia e rischio proveniente dal web. LayerX offre visibilità granulare sull'attività web dei dipendenti e sull'utilizzo di SaaS, sia nelle app approvate che in quelle non approvate. Il tutto garantendo un'esperienza utente eccezionale e senza interferire nel flusso di lavoro quotidiano dell'utente.
Per bloccare e prevenire il phishing, LayerX monitora le sessioni del browser a livello di applicazione e fornisce visibilità sugli eventi di navigazione. Ciò consente l'analisi della sessione e l'applicazione di azioni protettive che neutralizzano gli aspetti dannosi delle pagine web. L'attività dannosa del sito Web viene bloccata prima che interagisca con il browser. Inoltre, LayerX analizza il comportamento delle pagine a cui si accede tramite e-mail e consente di bloccare attività dannose come il phishing.