Lo smishing è un attacco di ingegneria sociale che utilizza messaggi di testo fasulli su telefoni mobili per indurre le persone a scaricare malware, condividere informazioni sensibili o inviare denaro ai criminali informatici. Il termine "smishing" è una combinazione di "SMS" (o "Short Message Service", la tecnologia alla base dei messaggi di testo) e "phishing ".
Lo smishing è una forma sempre più diffusa di crimine informatico. Secondo il rapporto State of the Phish 2023 di Proofpoint (link esterno a ibm.com), il 76% delle organizzazioni ha subito attacchi di smishing nel corso del 2022.
Sono vari i fattori che hanno contribuito all’aumento dello smishing. Ad esempio, gli hacker che perpetrano questi attacchi, talvolta chiamati "smisher", sanno che le vittime sono più propense a cliccare sui messaggi di testo che su altri link. Allo stesso tempo, i progressi nei filtri antispam hanno reso più difficile per altre forme di phishing, come le e-mail e le telefonate, di andare a segno.
L'aumento del BYOD (bring-your-own-device) e delle modalità di lavoro a distanza ha portato un maggior numero di persone a utilizzare i propri dispositivi mobili sul posto di lavoro, rendendo più facile per i criminali informatici accedere alle reti aziendali attraverso i telefoni cellulari dei dipendenti.
Acquisisci le informazioni necessarie per prevenire e reagire ai cyberattacchi con maggiore velocità ed efficacia con IBM Security X-Force Threat Intelligence Index.
Registrati per il report Cost of a Data Breach
Gli attacchi smishing sono simili ad altri tipi di attacchi di phishing, in cui i truffatori utilizzano messaggi fasulli e collegamenti dannosi per indurre le persone a compromettere i propri telefoni cellulari, conti bancari o dati personali. L'unica differenza principale è il mezzo. Negli attacchi di smishing, i truffatori utilizzano SMS o app di messaggistica per condurre i loro crimini informatici piuttosto che e-mail o telefonate.
I truffatori preferiscono lo smishing ad altri tipi di attacchi di phishing per vari motivi. Forse la cosa più importante è che la ricerca mostra che le persone sono più propense a fare clic sui collegamenti inseriti nei messaggi di testo. Klaviyo riferisce che le percentuali di clic degli SMS oscillano tra l'8,9% e il 14,5% (il link risiede al di fuori ibm.com). In confronto, le e-mail hanno un tasso medio di clic di solo l'1,33%, secondo Constant Contact (il link risiede al di fuori ibm.com).
Inoltre, i truffatori sono sempre più in grado di mascherare l'origine dei messaggi di smishing utilizzando tattiche come lo spoofing dei numeri di telefono con telefoni usa e getta o l'utilizzo di software per inviare messaggi via e-mail. È anche più difficile individuare collegamenti pericolosi sui telefoni cellulari. Ad esempio, su un computer, gli utenti possono passare il mouse su un link per vedere dove porta, ma sugli smartphone non hanno questa opzione. Le persone sono anche abituate a essere contattate da banche e aziende tramite SMS, e a ricevere URL abbreviati nei messaggi di testo.
Nel 2020, la Federal Communications Commission (FCC) ha imposto alle società di telecomunicazioni di adottare il protocollo STIR/SHAKEN (link esterno a ibm.com), che autentica le chiamate telefoniche, ed è il motivo per cui alcuni telefoni cellulari ora visualizzano messaggi "probabile truffa" o "probabile spam" quando sono chiamati da numeri sospetti. Ma anche se STIR/SHAKEN ha reso le chiamate truffa più facili da individuare, non ha avuto lo stesso effetto sui messaggi di testo, portando molti truffatori a spostare la loro attenzione sugli attacchi di smishing.
Come altre forme di social engineering, la maggior parte degli attacchi di smishing si basa sul pretexting, che prevede l'utilizzo di storie false per manipolare le emozioni delle vittime e indurle a eseguire gli ordini del truffatore.
I truffatori possono spacciarsi per la banca della vittima e avvisarla di un problema con il suo conto, spesso attraverso una falsa notifica. Se la vittima fa clic sul link, viene indirizzata a un sito web o a un'app falsi che rubano informazioni finanziarie sensibili come PIN, credenziali di accesso, password e dati del conto bancario o della carta di credito. Nel 2018, un gruppo di truffatori (link esterno a ibm.com) ha utilizzato questo metodo per rubare 100.000 dollari ai clienti della Fifth Third Bank.
I truffatori potrebbero fingersi funzionari di polizia, rappresentanti dell'IRS o altri funzionari governativi. Gli SMS di smishing spesso esortano la vittima a pagare una multa, oppure a intraprendere alcune azioni per richiedere una determinata agevolazione. Ad esempio, al culmine della pandemia di COVID-19, la Federal Trade Commission (FTC) ha messo in guardia dagli attacchi smishing (link esterno a ibm.com) che offrivano sgravi fiscali, test COVID gratuiti e servizi simili. Una volta che le vittime cliccavano sui link presenti in questi messaggi, i truffatori rubavano i loro numeri di previdenza sociale e altre informazioni utili per commettere furti di identità.
I malintenzionati si presentano come operatori del supporto clienti per marchi e rivenditori affermati come Amazon, Microsoft o persino come provider wireless della vittima. Di solito dicono che c'è un problema con l'account, un premio o un rimborso non riscosso. In genere, questi messaggi indirizzano la vittima a un sito web falso che ruba i numeri della carta di credito o le informazioni bancarie.
Questi messaggi smishing sembrano provenire da compagnie di spedizioni come FedEx, UPS o un corriere postale. Dicono alla vittima che c'è stato un problema nella consegna di un pacco e le chiedono di pagare una "tassa di consegna" o di accedere al loro account per correggere il problema. Quindi i truffatori prendono i soldi o le informazioni sul conto e spariscono. Queste truffe sono più frequenti durante le feste, quando la maggior parte delle persone attendono un'eventuale consegna di un pacco.
Nella compromissione dei messaggi aziendali (simili alla compromissione delle e-mail aziendali, ma tramite SMS), gli hacker si spacciano per il datore di lavoro, un collega, un fornitore o un avvocato che ha bisogno di aiuto per un compito urgente. Queste truffe spesso richiedono di agire immediatamente e, nel peggiore dei casi, si concludono con la vittima che invia il denaro agli hacker.
I truffatori inviano un messaggio che sembra destinato a qualcuno diverso dalla vittima. Quando la vittima corregge l'“errore” del truffatore, il truffatore avvia una conversazione con la vittima. Queste truffe con numeri errati tendono a essere a lungo termine, con il truffatore che cerca di guadagnarsi l'amicizia e la fiducia della vittima attraverso contatti ripetuti per mesi o addirittura anni. Il truffatore può anche fingere di sviluppare sentimenti romantici per la vittima. L'obiettivo è quello di rubare il denaro della vittima attraverso una falsa opportunità di investimento, una richiesta di prestito o una storia simile.
In questa truffa, chiamata frode di autenticazione a più fattori (MFA), un hacker che ha già il nome utente e la password di una vittima tenta di rubare il codice di verifica o la password monouso necessaria per accedere al suo account. L'hacker potrebbe fingersi un amico, affermare di essere stato bloccato dal suo account Instagram o Facebook e chiedere alla vittima di ricevere un codice per lui. La vittima ottiene un codice MFA, che in realtà è per il proprio account, e lo comunica all'hacker.
Alcune truffe di smishing inducono le vittime a scaricare app apparentemente legittime, ad esempio file manager, app di pagamento digitale, persino app antivirus, che sono in realtà malware o ransomware.
"Phishing" è un termine ampio che ricomprende tutti gli attacchi informatici che utilizzano l'ingegneria sociale per indurre le vittime a pagare denaro, consegnare informazioni sensibili o scaricare dei malware. Smishing e vishing sono solo due dei tipi di attacchi di phishing che gli hacker possono utilizzare contro le loro vittime.
La differenza principale tra i diversi tipi di attacchi di phishing è il mezzo utilizzato per sferrarli. Negli attacchi di smishing, gli hacker prendono di mira le loro vittime utilizzando esclusivamente messaggi di testo o SMS, mentre negli attacchi di vishing (abbreviazione di "voice phishing"), gli hacker utilizzano comunicazioni vocali come telefonate e messaggi vocali per fingersi organizzazioni legittime e manipolare le vittime.
Molti esperti di sicurezza informatica ritengono che lo smishing si diffonderà ulteriormente nel corso dei prossimi anni. Lucia Milică, CISO di Proofpoint (link esterno a ibm.com) ritiene che gli strumenti di smishing appariranno nei marketplace di malware, consentendo ai truffatori meno esperti tecnicamente di inviare SMS dannosi.
Gartner prevede (link esterno a ibm.com) un aumento dei tentativi di phishing “multicanale" che combinano SMS, e-mail, telefonate e altri canali di comunicazione. Ad esempio, il gruppo Lazarus, un hacker supportato dalla Corea del Nord, utilizza delle strategie multicanale. Il gruppo utilizza profili LinkedIn falsi per presentarsi come recruiter per conto di exchange di criptovalute (link esterno a ibm.com), contattano le vittime con il pretesto di discutere di offerte di lavoro e, successivamente, spostano le conversazioni da LinkedIn a SMS o WhatsApp, dove inducono le vittime a scaricare trojan o altri malware.
La FCC (link esterno a ibm.com) sta valutando una regola che impone ai provider wireless di bloccare i messaggi di spam. Ma nel frattempo, gli individui e le aziende possono adottare misure fondamentali per proteggersi:
Soluzioni di cybersecurity mobile: i sistemi operativi Android e iOS dispongono di protezioni e funzioni integrate, come il blocco di app non approvate e il filtraggio di testi sospetti in una cartella spam. A livello organizzativo, le aziende possono utilizzare soluzioni di unified endpoint management (UEM) per impostare controlli e policy di sicurezza mobile.
Formazione sulla sicurezza: formare le persone a riconoscere i segnali di avviso di attacchi informatici e smishing, come numeri di telefono insoliti, URL inaspettati e un elevato senso di urgenza, può aiutare a proteggere un'organizzazione. La formazione può anche impostare delle regole per la gestione dei dati sensibili, l'autorizzazione dei pagamenti e la verifica delle richieste, prima che queste si verifichino.
Blocca le minacce alla sicurezza mobile su qualsiasi dispositivo, creando esperienze fluide per gli utenti e mantenendo efficienti i team IT e di sicurezza.
Rileva il ransomware prima che possa tenere in ostaggio i tuoi dati e intraprendi azioni immediate e informate per prevenire o ridurre al minimo gli effetti degli attacchi con IBM Security QRadar SIEM.
Migliora le analisi e il triage degli avvisi con IBM Security QRadar Suite, una selezione modernizzata di tecnologie di sicurezza che offre un'esperienza di analisi unificata e un'AI e un'automazione incorporate.
Le truffe di phishing inducono le vittime a divulgare dati sensibili, a scaricare malware ed esporre sé stesse o la loro organizzazione alla criminalità informatica.
Gli attacchi di social engineering si basano sulla natura umana piuttosto che sull'hacking tecnico per manipolare le persone, col fine di compromettere la loro sicurezza personale o la sicurezza di una rete aziendale.
La sicurezza mobile si riferisce all'assenza di pericoli o di rischi legati alla perdita di asset e dati utilizzando computer mobili e hardware di comunicazione.