Immagina di stare facendo una bella passeggiata nella natura, c’è il sole e gli uccellini che cinguettano. Quando pensi che non potrebbe andare meglio di così ti vibra il cellulare. È un sms della tua banca che ti dice che ti sono stati accreditati 20k 🥳
Per fortuna tu hai letto questo articolo e sai già che purtroppo non si tratta di una tredicesima inaspettata ma di smishing, ovvero il phishing fatto via sms.
Che cos’è lo smishing
No, purtroppo non è un nuovo trend di TikTok. E nemmeno un tipo di workout che puoi fare in palestra 🥲
Lo smishing è una vera e propria truffa, un attacco informatico che colpisce la vittima attraverso messaggi di testo come sms ma anche app di messaggistica basate sui dati.
Si tratta di una recente variante del phishing che invece di colpire attraverso le mail lo fa con i messaggi, da qui il nome: sms + phishing.
È quindi a tutti gli effetti un attacco di social engineering che sfrutta l’errore umano invece delle vulnerabilità tecniche. Infatti, i messaggi di smishing hanno l’obiettivo di ingannare la persone che li riceve, inducendola ad aprire un link dannoso o a condividere dati e informazioni sensibili. Questo link può portare a scaricare un malware, un software pericoloso che si installa automaticamente sul telefono della vittima, attraverso il quale verranno poi acquisite le informazioni sensibili oppure, in altri casi, può aprire un collegamento a un sito web contraffatto che richiede l’inserimento di dati sensibili per accedere.
Come funziona
“Per me è uguale” come risposta a qualsiasi domanda ti viene fatta. E poi però tieni il muso finché non si fa quello che vuoi tu. Ecco, questa si chiama manipolazione ed è esattamente quello che succede con lo smishing.
Solo che nel tuo caso al massimo convinci la tua crush ad andare al sushi, nel caso dello smishing, invece, le persone vengono convinte a cedere informazioni sensibili 🤬
Ma come succede? Partiamo dai principi del social engineering che consentono di manipolare il processo di decisione delle vittime:
- Fiducia: spacciandosi per persone o organizzazioni affidabili e legittime, i cybercriminali riducono la diffidenza della vittima che è portata a credere alla comunicazione anche per via del canale più intimo, l’sms, su cui si verifica.
- Contesto: i messaggi di smishing più efficaci sono quelli che in qualche modo hanno un’attinenza con il lavoro o la vita della vittima, per questo sono più credibili.
- Emozione: l’ultima leva di questo genere di truffa è quella emozionale. Le comunicazioni fanno sempre riferimento a qualcosa di rilevante per la vittima, in questo modo compromettono la capacità di pensiero critico del bersaglio.
Le vittime di smishing vengono scelte in modi diversi ma nella maggior parte dei casi si fa leva sulla posizione geografica o sull’affiliazione a una particolare istituzione o organizzazione. Una volta inviato il messaggio si aspetta che la vittima designata utilizzi il link trappola e condivida le informazioni o i dati cercati. A quel punto viene commesso il furto grazie alle informazioni ottenute. Nella maggior parte dei casi l’obiettivo è quello della sottrazione di denaro direttamente da un conto bancario, ma può trattarsi anche di furti di identità che hanno l’obiettivo di aprire conti falsi o divulgare dati aziendali privati.
Tipologie di smishing
La struttura dell’attacco è sempre la stessa, a cambiare è la presentazione. I malintenzionati possono assumere diverse identità ed espedienti, per questo è molto difficile stilare un elenco completo dei tipi di smishing, anche per via della continua evoluzione di questi attacchi.
Ci sono però alcuni ambiti particolarmente utilizzati negli attacchi di smishing:
Servizi finanziari
No, purtroppo non devi essere Jeff Bezos per diventare la vittima ideale di un attacco di smishing, basta che tu abbia un conto in banca 🥲
In questo genere di attacchi i messaggi sono costruiti ad hoc per sembrare comunicazioni ufficiali di istituti bancari o finanziari. Spesso si tratta di richieste urgenti di sbloccare un conto, verificare attività sospette e cose simili.
Omaggi e premi
Se nella vita non hai mai vinto nulla, nemmeno la tombola di Natale di famiglia, potresti essere la vittima perfetta per questo tipo di attacchi di smishing. Queste truffe fanno leva sulla possibilità di ottenere prodotti o servizi gratuiti: omaggi, premi fedeltà e altre offerte di questo tipo. La leva della gratuità è ancora una delle più potenti in questo genere di frodi, ecco perché questi messaggi riescono a fare molti danni.
Conferme di ordini o fatture
“Il tuo pacco è stato spedito, clicca qui per seguire la sua localizzazione”. Anche quando sai per certo di non aver ordinato nulla, ecco che s’insinua un piccolo dubbio. Questi messaggi fanno leva proprio su questo, sul dubbio, sulla curiosità di controllare di che tipo di pacco si tratti e sulla paura di aver effettuato un ordine indesiderato. In questo modo ci spingono a cliccare sul link per verificare che sia tutto in ordine. Come riconoscere queste comunicazioni? Spesso manca il nome dell’azienda che si occupa della consegna o comunque è scritto in maniera sbagliata.
Assistenza clienti
Questo è uno di quei casi in cui il contesto è davvero importante. In questo genere di attacchi infatti il mittente si finge rappresentante di un servizio che la vittima usa o ha già usato in passato. Questo porta il bersaglio a fidarsi. Spesso la truffa si presenta sotto forma di aiuto a risolvere un problema o richiesta di codici per recuperare un account.
Insomma, se hai letto fino a qui lo avrai capito: lo smishing è una minaccia reale in grado di provocare danni spiacevoli 🥲
Mantenendo l’attenzione sempre alta e informandosi costantemente sulle ultime minacce in tema di cybersecurity, però, è possibile ridurre il rischio di diventare vittime di questi attacchi.
Se ti interessa il mondo della sicurezza informatica, puoi dare un’occhiata ai nostri master sul tema, li trovi qui.
