/ Cos'è lo smishing (phishing SMS)?
Cos'è lo smishing (phishing SMS)?
Lo smishing è un tipo di attacco di ingegneria sociale effettuato tramite messaggi di testo fraudolenti. Come avviene negli altri attacchi di phishing, le truffe di smishing sfruttano la fiducia o la paura umana per creare un senso di urgenza e indurre le vittime a divulgare informazioni sensibili (ad esempio credenziali di accesso o numeri di carta di credito). Lo smishing è una tattica usata molto frequentemente nel furto di identità.
Come funzionano gli attacchi smishing?
Come avviene in tutte le forme di phishing, gli attacchi di smishing riusciti fanno sostanzialmente due cose: guadagnano la fiducia della vittima e la sfruttano per rubare informazioni private o denaro. Ma come agiscono i truffatori?
Innanzitutto, diamo un'occhiata ai vettori di attacco. Lo smishing, chiamato anche SMS phishing, o phishing via SMS, non viene necessariamente effettuato tramite un messaggio SMS o un dispositivo mobile. Può anche verificarsi nelle app di messaggistica, sui forum o sulle piattaforme social, come Facebook, X (Twitter) o Reddit.
I mittenti spesso si presentano come entità che le vittime in qualche modo "conoscono", come istituti finanziari, rivenditori, superiori sul lavoro e agenzie della pubblica amministrazione. Questo senso di familiarità induce le vittime ad abbassare la guardia, così da non valutare in modo critico ciò che gli aggressori chiedono loro di fare.
I messaggi di smishing efficaci convincono le vittime ad agire con urgenza. Di solito, presentano alla vittima un esito negativo da evitare (la chiusura del conto, una sanzione, un provvedimento disciplinare, ecc.), o positivo da riscattare (una ricompensa, una consegna, ecc.). In entrambi i casi, il messaggio richiede qualcosa, come informazioni privilegiate o un pagamento. Se lo stratagemma riesce, l'aggressore scappa con il suo premio.
Di recente, i "kit di phishing" preconfezionati e gli strumenti di AI generativa hanno reso ancora più semplice per gli autori delle minacce lanciare rapidamente attacchi di questo tipo.
Perché gli aggressori usano le truffe di smishing?
Come avviene per le altre truffe di phishing, lo smishing ha prevalentemente un movente finanziario. I criminali informatici possono essere alla ricerca di informazioni finanziarie per rubare direttamente il denaro delle vittime oppure ricercare informazioni da vendere sul mercato nero, come dati personali preziosi o proprietà intellettuale aziendale. Alcune campagne di smishing cercano di indurre le vittime a scaricare malware, ma questo è meno frequente.
Gli attacchi di smishing beneficiano inoltre della mancanza generale di formazione, istruzione e consapevolezza dei potenziali bersagli, soprattutto per quanto riguarda il phishing basato sulla posta elettronica. A ciò si aggiunge il fatto che sono molte di meno le soluzioni di sicurezza progettate per rilevare o bloccare lo spam di smishing. Infine, molti servizi Voice over IP (VoIP) rendono estremamente facile l'abuso dell'ID di chi chiama per far visualizzare numeri o nomi specifici.
Con lo smishing è inoltre molto più facile raggiungere un ampio numero di potenziali vittime, e questo lo rende estremamente interessante per gli aspiranti hacker. Con oltre 4,6 miliardi di utenti di smartphone nel 2023 e proiezioni che superano i 5 miliardi entro il 2027 (Statista), le potenziali vittime sono effettivamente illimitate.
Tipi di attacchi di phishing
Uno dei motivi per cui lo smishing e altri tipi di attacchi di phishing sono così insidiosi è che esistono molti modi per metterli in atto. Diamo un'occhiata ad alcuni degli approcci e dei framework più comuni impiegati dagli aggressori.
- Le truffe relative a premi e pacchi approfittano dell'entusiasmo delle vittime che credono di aver vinto qualcosa (una carta regalo, i soldi della lotteria, ecc.) o che sono in attesa che un prodotto venga consegnato. Gli aggressori spesso si spacciano per un'importante azienda di vendita al dettaglio o di consegna di pacchi, come Amazon, Costco, FedEx o UPS, e richiedono la correzione dell'indirizzo, i dati della carta di credito, una commissione per la spedizione o simili. In genere, indirizzano le vittime a un link dannoso progettato per rubare tali informazioni.
- Le truffe bancarie e finanziarie sfruttano la suscettibilità rispetto ai temi finanziari per provocare reazioni impetuose e rapide. Gli aggressori impersonano un istituto bancario (o, per amplificare l'elemento di paura, un'organizzazione come l'Agenzia delle Entrate) e informano la vittima di un problema relativo al conto bancario, di un rimborso in attesa, di un pagamento scaduto, di un'indagine o qualcosa di simile come pretesto per rubare credenziali di accesso, numeri di previdenza sociale, numeri di carta di credito o altre informazioni.
- Le truffe sugli investimenti, come il cosiddetto "pig butchering", manipolano le vittime spingendole a investire in criptovaluta, spesso promettendo rendimenti elevati. Le vittime sono indotte a creare account su piattaforme di criptovalute o di trading finanziario fittizie che spesso offrono rendimenti iniziali per generare un falso senso di legittimità. Dopo aver ottenuto l'accesso non autorizzato al conto della vittima, l'aggressore inizia a eseguire transazioni fraudolente per svuotare completamente il conto.
- Le truffe relative alla verifica degli account e alle password inducono le vittime a compromettere i propri account, spesso facendo loro credere che siano già stati compromessi. Questo modello può essere accompagnato dallo spoofing degli URL, in modo da creare portali di accesso falsi ma convincenti. In alcuni attacchi complessi che hanno l'obiettivo di rubare i dati degli account, gli hacker possono richiedere alle vittime di rispondere a domande di sicurezza o codici di autenticazione a più fattori (MFA) per essere in grado di aggirare ulteriori misure di sicurezza informatica.
- Le truffe opportunistiche e tematiche fanno leva sulle paure, le speranze o il senso di responsabilità sociale delle vittime riguardo a eventi o circostanze esistenti in un dato momento per rubare denaro e/o dati personali. Alcuni esempi che si sono verificati negli ultimi anni includono la frode sugli appuntamenti per il vaccino per il COVID-19, falsi enti di beneficenza legati a guerre e disastri naturali, truffe economiche relative a prestiti studenteschi, tasse, pagamenti di sussidi, opportunità di lavoro e molto altro.
Esempi di truffe di smishing
Diamo ora un'occhiata ad alcuni esempi di tentativi di smishing reali e ad alcuni campanelli di allarme che possono aiutarti a identificare questi attacchi.
Esempio 1: smishing relativo a un pacco di USPS
Questo messaggio è pieno di campanelli di allarme che ne facilitano l'identificazione come attacco di smishing. Da notare la mancanza di dettagli specifici, come il nome o la posizione del "magazzino", la spaziatura incoerente e la strana stringa "7cng.vip" nell'URL fornito.
Inoltre, secondo il Servizio di ispezione postale degli Stati Uniti: "USPS non invia ai clienti messaggi di testo o e-mail senza che il cliente abbia prima richiesto tale servizio con un numero di tracciamento, e l'eventuale messaggio NON contiene link".
Esempio 2: smishing relativo a un sondaggio di Costco
Il testo di questo messaggio di smishing lo rende un po' più difficile da identificare, ma presenta comunque numerosi segnali rivelatori. Innanzitutto, Costco Wholesale Corporation non si riferisce a sé usando la dicitura "CostcoUSA". Come nel falso messaggio di USPS, anche qui la formulazione è un po' artificiosa. Il segnale più indicativo che si tratta di smishing è l'URL, in quanto le comunicazioni legittime di Costco provengono sempre da un dominio Costco.
Gli smisher possono essere estremamente ingegnosi, ma se sai cosa cercare, spesso ci sono segnali più o meno evidenti che consentono di individuare i loro tentativi di truffa.
Come difendersi dagli attacchi di smishing
È difficile evitare del tutto lo smishing, ma fortunatamente ci sono molti modi efficaci per difendersi prima che possa causare danni:
- Ignorare il tentativo di attacco: se ricevi un messaggio di smishing, in realtà non devi fare nulla. Una volta capito che il messaggio ricevuto non è legittimo, ti basta semplicemente eliminarlo senza ulteriori conseguenze. Lo smishing non funziona se la vittima non ci casca.
- Pensare in modo critico: uno dei modi migliori per identificare un tentativo di smishing è semplicemente quello di fermarsi a pensare, esattamente ciò che gli aggressori contano che le vittime non facciano. Se ricevi un messaggio di testo sospetto, fermati un istante e considera le circostanze. Aspettavi notizie da quel presunto mittente? Il mittente si è identificato chiaramente? La richiesta è legittima?
- Cercare campanelli di allarme: analizza i dettagli. Il messaggio proviene da un numero di telefono stranamente simile al tuo? Se fosse così, questo potrebbe indicare un tentativo di "neighbor spoofing", ossia l'imitazione dei numeri della tua zona o di conoscenti. Contiene indirizzi e-mail o link? Assicurati che corrispondano alle informazioni di contatto reali o ai canali ufficiali che ti aspetti dal mittente. Ci sono dettagli vaghi o errori? La maggior parte dei messaggi aziendali legittimi viene controllata attentamente per individuare eventuali errori.
- Verificare prima di agire: se non hai ancora la certezza che un messaggio sia legittimo o meno, puoi verificarlo contattando separatamente il mittente tramite un canale ufficiale. Ad esempio, puoi cercare il numero del servizio clienti o chattare con un rappresentante sul sito web della tua banca.
- Bloccare e/o segnalare il tentativo di smishing: puoi ridurre il rischio e la probabilità che altri cadano vittime dello smishing bloccando e segnalando i tentativi di attacco. La maggior parte delle app di messaggistica private e i sistemi operativi Apple iOS e Android dispongono di funzioni di blocco e segnalazione integrate, che aiutano a segnalare i messaggi sospetti per quando altri utenti li riceveranno.
Cosa fare se subisci un attacco di smishing
Se ti rendi conto o sospetti di aver subito un attacco di smishing, ci sono comunque misure che puoi intraprendere per limitarne i danni.
- Segnala l'attacco alle autorità competenti. La maggior parte delle banche dispone di solidi sistemi di gestione delle frodi e potrebbe persino aiutarti a recuperare i fondi persi. In caso di una frode o un furto d'identità più grave, potresti prendere in considerazione la possibilità di sporgere denuncia alla polizia postale o contattare un ente governativo come l'Antitrust.
- Aggiorna le credenziali compromesse. Se un utente malintenzionato dispone dei dettagli del tuo account, non puoi sapere quando li utilizzerà. Modifica immediatamente le password, i PIN e le altre credenziali. Se ricevi un'e-mail legittima che conferma una modifica della password che non hai richiesto, contatta subito il mittente.
- Tieni d'occhio le attività dannose. Una volta fatto quanto sopra, rimani in guardia per individuare ulteriori segnali di compromissione in quei particolari ambiti. Puoi richiedere di aggiungere avvisi di frode su molti account per identificare le attività sospette.
Protezione dagli attacchi di smishing con Zscaler
Dato che il phishing si basa sullo sfruttamento della natura umana per avere successo, la compromissione degli utenti è una delle sfide di sicurezza più difficili da superare. Per rilevare le violazioni attive e ridurre al minimo i danni che le stesse possono causare, è necessario implementare controlli efficaci di prevenzione del phishing nell'ambito di una strategia zero trust più estesa.
La piattaforma Zscaler Zero Trust Exchange™ è basata su un'architettura olistica zero trust e consente di ridurre al minimo la superficie di attacco, prevenire le compromissioni, eliminare il movimento laterale e bloccare la perdita dei dati, proteggendo da attacchi di smishing e altre minacce informatiche attraverso le seguenti misure:
- Prevenzione della compromissione: le funzionalità come l'ispezione TLS/SSL completa, l'isolamento del browser, il filtraggio degli URL e il rilevamento dei siti di phishing (inclusi i link negli SMS e sui dispositivi mobili), il controllo degli accessi basato su policy e l'intelligence sulle minacce in tempo reale proteggono gli utenti dai siti web dannosi.
- Eliminazione del movimento laterale: una volta entrati sulla tua rete, gli aggressori possono diffondersi, causando ancora più danni. Con Zero Trust Exchange, gli utenti si connettono direttamente alle app, non alla rete, limitando così il raggio di azione di un attacco. Le esche di deception aiutano a ingannare gli aggressori e a rilevare il movimento laterale.
- Blocco delle minacce interne: la nostra architettura proxy sul cloud blocca i tentativi di exploit delle app private con un'ispezione completa inline e rileva anche le tecniche di attacco più sofisticate grazie all'impiego di tattiche di deception avanzate.
- Blocco della perdita di dati: Zero Trust Exchange ispeziona i dati in movimento e inattivi per prevenirne il potenziale furto da parte di aggressori attivi.