Home
topics
Smishing
Data di aggiornamento: 10 giugno 2024
Autore: Matthew Kosinski
Lo smishing è un attacco di ingegneria sociale che utilizza messaggi di testo fasulli su telefoni mobili per indurre le persone a scaricare malware, condividere informazioni sensibili o inviare denaro a criminali informatici. Il termine "smishing" è una combinazione di "SMS" (o "Short Message Service", la tecnologia alla base dei messaggi di testo) e "phishing".
Lo smishing è una forma sempre più diffusa di criminalità informatica. Secondo il report State of the Phish 2024 di Proofpoint, il 75% delle organizzazioni ha subito attacchi di smishing nel 2023.1
Sono vari i fattori che hanno contribuito all’aumento dello smishing. Innanzitutto, gli hacker che perpetrano questi attacchi, talvolta chiamati "smishers", sanno che le vittime sono più propense a cliccare sui messaggi di testo che su altre tipologie di link. Allo stesso tempo, i progressi nei filtri antispam hanno reso più difficile per altre forme di phishing, come le e-mail e le telefonate, raggiungere i loro obiettivi.
L'aumento del bring your own device (BYOD) e delle modalità di lavoro da remoto ha portato anche a un maggior numero di persone a utilizzare i propri dispositivi mobili sul posto di lavoro, rendendo più facile per i criminali informatici accedere alle reti aziendali attraverso i telefoni cellulari dei dipendenti.
Il nostro team X-Force® di hacker, operatori di risposta, ricercatori e analisti di intelligence è disponibile per discutere delle specifiche sfide di sicurezza della tua organizzazione e di come possiamo aiutarti.
Gli attacchi smishing sono simili ad altri tipi di attacchi di phishing, in cui i truffatori utilizzano messaggi fasulli e collegamenti dannosi per indurre le persone a compromettere i propri telefoni cellulari, conti bancari o dati personali. L'unica differenza principale è il mezzo. Negli attacchi di smishing, i truffatori utilizzano SMS o app di messaggistica per condurre i loro crimini informatici piuttosto che e-mail o telefonate.
I truffatori preferiscono lo smishing ad altri tipi di attacchi di phishing per vari motivi. Forse la cosa più importante è che la ricerca mostra che le persone sono più propense a fare clic sui collegamenti inseriti nei messaggi di testo. Klaviyo riferisce che le percentuali di clic degli SMS oscillano tra l'8,9% e il 14,5% (il link risiede al di fuori ibm.com). In confronto, le e-mail hanno un tasso medio di clic di solo l'1,33%, secondo Constant Contact (il link risiede al di fuori ibm.com).
Inoltre, i truffatori sono sempre più in grado di mascherare l'origine dei messaggi di smishing utilizzando tattiche come lo spoofing dei numeri di telefono con telefoni usa e getta o l'utilizzo di software per inviare messaggi via e-mail. È anche più difficile individuare collegamenti pericolosi sui telefoni cellulari. Ad esempio, su un computer, gli utenti possono passare il mouse su un link per vedere dove porta, ma sugli smartphone non hanno questa opzione. Le persone sono anche abituate a essere contattate da banche e aziende tramite SMS, e a ricevere URL abbreviati nei messaggi di testo.
Nel 2020, la Federal Communications Commission (FCC) ha imposto alle società di telecomunicazioni di adottare il protocollo STIR/SHAKEN (link esterno a ibm.com), che autentica le chiamate telefoniche, ed è il motivo per cui alcuni telefoni cellulari ora visualizzano messaggi "probabile truffa" o "probabile spam" quando sono chiamati da numeri sospetti. Ma anche se STIR/SHAKEN ha reso le chiamate truffa più facili da individuare, non ha avuto lo stesso effetto sui messaggi di testo, portando molti truffatori a spostare la loro attenzione sugli attacchi di smishing.
Come altre forme di social engineering, la maggior parte degli attacchi di smishing si basa sul pretexting, che prevede l'utilizzo di storie false per manipolare le emozioni delle vittime e indurle a eseguire gli ordini del truffatore.
I truffatori possono spacciarsi per la banca della vittima e avvisare di un problema con il conto, spesso attraverso una falsa notifica. Se la vittima fa clic sul link, viene indirizzata a un'app o a un sito web falso che ruba informazioni finanziarie sensibili come PIN, credenziali di accesso, password e dati del conto bancario o della carta di credito.
Secondo la Federal Trade Commission (FTC), l'impersonificazione bancaria è la truffa più comune con i messaggi di testo, e rappresenta il 10% di tutti i messaggi smishing.4
I truffatori possono fingersi funzionari di polizia, rappresentanti dell'IRS o altri funzionari di agenzie governative. Gli SMS di smishing spesso esortano la vittima a pagare una multa, oppure a intraprendere alcune azioni per richiedere una determinata agevolazione.
Ad esempio, nell'aprile 2024, il Federal Bureau of Investigation (FBI) ha emesso un avviso su una truffa di smishing ai danni di conducenti statunitensi.5 I truffatori inviano messaggi di testo fingendo di essere le agenzie di riscossione dei pedaggi e chi riceveva i messaggi veniva esortato a pagare una somma per pedaggi stradali insoluti. I messaggi contengono un link a un sito falso che ruba denaro e informazioni alle vittime.
Gli autori di un attacco si spacciano per agenti del supporto clienti di marchi e rivenditori affidabili come Amazon, Microsoft o persino di fornitori di servizi wireless della vittima. Di solito dicono che esiste un problema con l'account, un premio o un rimborso non riscosso. Di solito, questi messaggi indirizzano la vittima a un sito web falso che ruba i numeri della carta di credito o le informazioni bancarie.
Questi messaggi smishing sembrano provenire da compagnie di spedizioni come FedEx, UPS o un corriere postale degli Stati Uniti. Dicono alla vittima che si è verificato un problema nella consegna di un pacco e chiedono di pagare una tassa di consegna del pacco o di accedere al proprio account per risolvere il problema. I truffatori quindi prendono i soldi o le informazioni sul conto per poi scomparire. Queste truffe sono più frequenti durante le feste, quando la maggior parte delle persone attende la consegna di un pacco.
Nella compromissione dei messaggi aziendali (simili alla compromissione delle e-mail aziendali, ma tramite SMS), gli hacker si spacciano per il datore di lavoro, un collega, un fornitore o un avvocato che ha bisogno di aiuto per un compito urgente. Queste truffe spesso richiedono di agire immediatamente e terminano con la vittima che invia denaro agli hacker.
I truffatori inviano un messaggio che sembra destinato a qualcuno diverso dalla vittima. Quando la vittima corregge l'"errore" del truffatore, il truffatore avvia una conversazione con la vittima.
Queste truffe con numeri errati tendono a essere a lungo termine, con il truffatore che cerca di guadagnarsi l'amicizia e la fiducia della vittima attraverso contatti ripetuti per mesi o addirittura anni. Il truffatore potrebbe anche fingersi di sviluppare sentimenti di affetto nei confronti della vittima. L'obiettivo è rubarle i soldi attraverso una falsa opportunità di investimento, una richiesta di prestito o una storia simile.
In questa truffa, chiamata frode di autenticazione a più fattori (MFA), un hacker che ha già il nome utente e la password di una vittima tenta di rubare il codice di verifica o la password monouso necessaria per accedere al suo account.
L'hacker potrebbe fingersi un amico, affermare di essere stato bloccato dal suo account Instagram o Facebook e chiedere alla vittima di ricevere un codice per lui. La vittima ottiene un codice MFA, che in realtà è per il proprio account, e lo comunica all'hacker.
Alcune truffe di smishing inducono le vittime a scaricare app apparentemente legittime, ad esempio file manager, app di pagamento digitale, persino app antivirus, che sono in realtà malware o ransomware.
Il phishing è un termine ampio che comprende tutti gli attacchi informatici che utilizzano l'ingegneria sociale per indurre le vittime a pagare denaro, consegnare informazioni sensibili o scaricare malware. Smishing e vishing sono solo due dei tipi di attacchi di phishing che gli hacker possono utilizzare nei confronti delle vittime.
La differenza principale tra i diversi tipi di attacchi di phishing è il mezzo utilizzato per eseguirli. Negli attacchi di smishing, gli hacker prendono di mira le vittime utilizzando messaggi di testo o SMS. Negli attacchi di vishing (abbreviazione di voice phishing), gli hacker utilizzano comunicazioni vocali come telefonate e messaggi vocali per fingersi organizzazioni legittime e manipolare così le vittime.
Per aiutare a combattere le truffe di smishing, la FCC ha adottato una nuova norma che richiede ai provider di servizi wireless di bloccare i probabili messaggi di spam provenienti da numeri sospetti, inclusi numeri di telefono inutilizzati o non validi.6
Tuttavia, nessun filtro antispam è perfetto e i criminali informatici sono sempre alla ricerca di modi per aggirare queste misure. Gli individui e le organizzazioni possono adottare ulteriori misure per rafforzare le proprie difese contro gli attacchi di smishing, tra cui:
I sistemi operativi Android e iOS dispongono di protezioni e funzioni integrate, come il blocco di app non approvate e il filtraggio di testi sospetti in una cartella spam.
A livello organizzativo, le aziende possono utilizzare soluzioni di gestione unificata degli endpoint (UEM) e strumenti di rilevamento delle frodi per impostare controlli di mobile security, applicare policy di sicurezza e intercettare attività dannose.
Le organizzazioni possono bloccare più truffe addestrando i dipendenti a riconoscere i segnali di avviso di attacchi informatici e i tentativi di smishing, come numeri di telefono insoliti, mittenti sconosciuti, URL inaspettati e un elevato senso di urgenza.
Numerose organizzazioni utilizzano simulazioni di smishing per aiutare i dipendenti ad acquisire nuove competenze di cybersecurity. Queste simulazioni possono inoltre aiutare i team addetti alla sicurezza a scoprire le vulnerabilità nei sistemi informatici e nelle politiche organizzative che espongono l'azienda a truffe.
Le organizzazioni possono porre rimedio a queste vulnerabilità combinando strumenti di rilevamento delle minacce con politiche per la gestione dei dati sensibili, l'autorizzazione dei pagamenti e la verifica delle richieste prima di agire su queste.
IBM® Security MaaS360 dispone di un pacchetto MTD (Mobile Threat Defense) completo e integrato che consente di mantenere un approccio alla gestione unificata degli endpoint (UEM) incentrato sull'utente e sulla sicurezza.
IBM® Trusteer Pinpoint Assure è uno strumento SaaS per rilevare e prevedere i rischi legati all'identità degli utenti guest e durante la creazione di account digitali.
Data storage resiliente in caso di attacco informatico. IBM Storage FlashSystem monitora costantemente le statistiche raccolte da ogni singolo I/O utilizzando modelli di apprendimento automatico per rilevare anomalie come il ransomware in meno di un minuto.
Conoscere le tattiche degli hacker è fondamentale per proteggere persone, dati e infrastrutture. Impara dalle sfide e dai successi dei team di sicurezza di tutto il mondo.
Scopri come i criminali informatici stanno spostando l'attenzione sui percorsi di minor resistenza, sfruttando la "superficie di attacco umana" per raggiungere i propri obiettivi.
Approfondisci il concetto di cyber resilience, che non solo difende dagli attacchi informatici, ma mette in atto soluzioni di ripristino per tornare alla normalità il più rapidamente possibile in caso di attacco.
Tutti i link sono esterni a ibm.com
1 2024 State of the Phish. Proofpoint.
2 Campaign SMS and MMS benchmarks. Klaviyo. 7 giugno 2024.
3 Average industry rates for email as of April 2024. Constant Contact. 9 maggio 2024.
4 New FTC data analysis shows bank impersonation is most-reported text message scam. Federal Trade Commission. 8 giugno 2023.
5 Did you get a text about unpaid road tolls? It could be a 'smishing' scam, FBI says. USA Today. 18 aprile 2024.
6 FCC adopts its first rules focused on scam texting. Federal Communications Commission. 17 maggio 2023.