Che cos'è lo smishing?

Lo smishing è una forma di phishing che utilizza i telefoni cellulari come piattaforma di attacco. Il criminale compie l'attacco con l'intento di raccogliere informazioni personali, compresi il codice fiscale e/o il numero di carta di credito. Lo smishing usa messaggi di testo o SMS, da cui il nome "SMiShing".

Smishing significato

Gli attacchi di smishing utilizzano gli SMS, più comunemente noti come messaggi di testo. Questa forma di attacco è diventata sempre più popolare a causa del fatto che le persone sono più propense a fidarsi di un messaggio che arriva sul loro telefono attraverso un'app di messaggistica piuttosto che da un messaggio consegnato tramite email.

Anche se molte vittime non associano le truffe di phishing ai messaggi di testo personali, la verità è che è più facile per i malintenzionati trovare il numero di telefono che l'email di una vittima. Nel caso dei numeri di telefono esiste un numero finito di opzioni: negli Stati Uniti un numero di telefono è composto da 10 cifre.

Al contrario, un indirizzo email non è limitato nelle dimensioni, anche se è previsto un numero ragionevole di caratteri. Le email possono includere numeri, lettere e simboli come !, #, %, ad esempio. È molto più facile mettere insieme dieci cifre a caso per raggiungere una vittima che entrare in contatto con una persona tramite un indirizzo email.

L'hacker può semplicemente inviare messaggi a tutte le combinazioni di cifre della stessa lunghezza di un numero di telefono. Possono provare tutte le combinazioni di cifre senza pericolo e senza sbagliare.. Gartner riferisce che il 98% dei messaggi di testo viene letto e il 45% riceve risposta. Questo rende estremamente logico per gli hacker utilizzare i messaggi di testo come vettore di attacco, soprattutto quando, come riportato da Gartner, solo il 6% delle email riceve risposte.

SMS Phishing

Con un messaggio di testo l'hacker può tentare di raggiungere diversi tipi di risultati. Questo include il furto di dati personali dell'utente, spacciandosi per un rappresentante della sua banca. Può cercare di far cliccare l'utente su un collegamento incluso nel messaggio di testo per connettersi al sito web della banca e verificare un recente addebito sospetto. L'hacker potrebbe chiedere di chiamare il numero del servizio clienti, incluso per comodità nel messaggio di testo, per parlare di un recente addebito sospetto o di un account compromesso.

Per sottrarre informazioni sensibili, gli hacker tentano anche di usare misure che fanno leva sui sentimenti. Un esempio sono i messaggi riguardanti i soccorsi per gli uragani in cui i malintenzionati chiedono una donazione per beneficenza. L'hacker chiede di cliccare sul collegamento incluso e di inserire i dati della carta di credito, l'indirizzo e spesso il codice fiscale. Una volta che l'hacker ottiene il numero di carta di credito, questi può anche generare un addebito sulla carta di credito su base mensile per evitare di allarmare il titolare.

Phishing tramite cellulare

Un altro esempio di attacco smishing è un'offerta del provider che propone uno sconto su un servizio o un aggiornamento del telefono. Il messaggio esorta a cliccare sul collegamento fornito per attivare l'offerta. Una volta raggiunta la pagina web falsificata che riproduce il sito del provider, il sito chiede di confermare il numero di carta di credito, l'indirizzo e magari anche il codice fiscale. Bisogna ricordare che se è troppo bello per essere vero, probabilmente lo è.

Phishing tramite messaggistica istantanea

Il phishing effettuato utilizzando un programma di messaggistica istantanea gratuito, come Messenger di Facebook o WhatsApp, non rientra tecnicamente nell'ambito dello smishing, ma è strettamente correlato. L'hacker sfrutta il crescente livello di comfort che gli utenti hanno nell'aprire messaggi e rispondere a sconosciuti attraverso le piattaforme di social media.

Come un vero schema di phishing, l'obiettivo dell'attacco è la comunicazione di dati personali, tra cui password e/o numeri di carte di credito, al malintenzionato. Per ottenere tali informazioni, l'aggressore può proporre un'offerta o qualcosa di valore. In queste offerte è spesso incluso un collegamento cliccabile.

Mentre un messaggio da uno sconosciuto in cerca di informazioni è spesso un buon indicatore di un possibile schema di phishing di messaggistica istantanea, questi attacchi possono sembrare provenire da persone che l'utente conosco e con cui è già in contatto. Questo accade spesso quando l'account di un contatto dell'utente su un social media è stato a sua volta violato o spoofato.

Esempi di smishing

Truffe bancarie:

Gli hacker inviano messaggi di testo che sembrano provenire dalla tua banca, ti avvisano di attività sospette o ti chiedono di verificare i dettagli del conto. Se la vittima fa clic sul collegamento nell'avviso, verrà indirizzata a un sito Web fraudolento progettato per rubare le credenziali di accesso, le password e le informazioni finanziarie.

Truffe governative:

In queste truffe, i cyber criminali fingono di essere agenzie governative, come l'IRS o le forze dell'ordine locali. Possono affermare che il destinatario deve pagare multe o tasse, chiedendogli di cliccare su un link o di fornire dati personali per evitare sanzioni.

Truffe di consegna:

Gli aggressori spesso impersonano aziende di spedizione come FedEx o UPS, informando le vittime di problemi con la consegna di un pacco. Alle vittime viene chiesto di pagare una commissione o di fornire i dati di accesso per risolvere il problema, che porta al furto di informazioni personali o di pagamento.

Sample “credit dropped” scam.


Esempio di truffa “consegna fallita”.

Truffe dell'assistenza clienti:

In questo tipo di smishing, i truffatori si fingono agenti del servizio clienti di aziende note come Amazon o Microsoft. Sostengono che c'è un problema con l'account della vittima o offrono ricompense false, indirizzando le vittime verso siti web di phishing per rubare dettagli personali o finanziari.

Numero errato di truffe:

Gli hacker fingono di averti inviato erroneamente un testo destinato a qualcun altro. Una volta che rispondi, si impegnano in una conversazione, creando lentamente fiducia prima di tentare di indurti a condividere informazioni personali o inviare denaro.

Truffa del punteggio di credito diminuito

Questa truffa tenta di convincervi a cliccare su un link che conduce a un sito web pericoloso, sostenendo che il vostro punteggio di credito è diminuito.

Sample “credit dropped” scam.


Esempio di truffa “credito caduto”.

Informazioni correlate su Pharming

image

Statistiche ed esempi di phishing via e-mail nel mondo nel 2023

Esplorate la necessità di andare oltre la sicurezza integrata di Microsoft 365 e Google Workspace™ sulla base delle minacce e-mail rilevate nel 2023.

image

Migliori pratiche di sicurezza e-mail per la prevenzione del phishing

Scoprite le ultime tendenze del phishing e le best practice per la sicurezza delle e-mail per migliorare la vostra sicurezza e-mail e ridurre il rischio informatico.

Articoli correlati

Ricerche correlate