Cos'è lo smishing (phishing su SMS)?

Lo smishing è una forma di criminalità informatica sempre più diffusa. Secondo il report State of the Phish 2024 di Proofpoint, il 75% delle organizzazioni ha subito attacchi di smishing nel 2023.¹

Sono vari i fattori che hanno contribuito all’aumento dello smishing. Ad esempio, gli hacker che perpetrano questi attacchi, talvolta chiamati "smisher", sanno che le vittime sono più propense a cliccare sui messaggi di testo che su altri link. Allo stesso tempo, i progressi nei filtri antispam hanno reso più difficile per altre forme di phishing, come le e-mail e le telefonate, di andare a segno. 

L'aumento del bring your own device (BYOD) e delle modalità di lavoro da remoto ha portato anche a un maggior numero di persone a utilizzare i propri dispositivi mobili sul posto di lavoro, rendendo più facile per i criminali informatici accedere alle reti aziendali attraverso i telefoni cellulari dei dipendenti.

Gli attacchi di smishing sono simili ad altri tipi di attacchi di phishing, in cui i truffatori utilizzano messaggi fasulli e link dannosi per indurre le vittime a compromettere i propri telefoni cellulari, conti bancari o dati personali. La differenza principale dagli altri generi di truffa è il mezzo. Negli attacchi di smishing, i truffatori utilizzano SMS o app di messaggistica per condurre i loro crimini informatici invece di e-mail o chiamate telefoniche.

I truffatori preferiscono lo smishing rispetto ad altri tipi di phishing per vari motivi. Le ricerche dimostrano che le persone sono più propense a fare clic sui link nei messaggi SMS. Klaviyo segnala che le percentuali di clic degli SMS oscillano tra l'8,9% e il 14,5%.² A confronto, le e-mail hanno un tasso medio di clic del 2%, secondo Constant Contact.³

Inoltre, i truffatori possono mascherare l'origine dei messaggi di smishing utilizzando tattiche come lo spoofing dei numeri di telefono con telefoni usa e getta o attraverso l'utilizzo di software per inviare messaggi via e-mail.

È inoltre più difficile individuare link pericolosi sui telefoni cellulari. Su un computer, gli utenti possono passare il mouse su un collegamento per vedere questo dove porta. Sugli smartphone tale opzione non è disponibile. Le persone hanno l'abitudine di ricevere SMS da banche e aziende con URL abbreviati nei messaggi di testo.

Nel 2020, la Federal Communications Commission (FCC) ha imposto alle società di telecomunicazioni di adottare il protocollo STIR/SHAKEN. STIR/SHAKEN autentica le chiamate telefoniche e questo è il motivo per cui alcuni telefoni cellulari ora visualizzano messaggi come "probabile truffa" oppure "probabile spam" quando provengono da numeri sospetti.

Mentre questa regola ha reso più facile individuare le chiamate truffa, non ha avuto lo stesso effetto sui messaggi di testo, portando numerosi truffatori a spostare la loro attenzione sugli attacchi di smishing.

Come altre forme di social engineering, la maggior parte degli attacchi di smishing si basa sul pretexting, che prevede l'utilizzo di storie false per manipolare le emozioni delle vittime e indurle a eseguire gli ordini del truffatore.

I truffatori possono spacciarsi per la banca della vittima e avvisare di un problema con il conto, spesso attraverso una falsa notifica. Se la vittima fa clic sul link, viene indirizzata a un sito web o a un'app falsi che rubano informazioni finanziarie sensibili come PIN, credenziali di accesso, password e dati del conto bancario o della carta di credito.

Secondo la Federal Trade Commission (FTC), l'impersonificazione bancaria è la truffa più comune con i messaggi di testo, e rappresenta il 10% di tutti i messaggi smishing.⁴

I truffatori possono fingersi funzionari di polizia, rappresentanti dell'IRS o altri funzionari di agenzie governative. Gli SMS di smishing spesso esortano la vittima a pagare una multa, oppure a intraprendere alcune azioni per richiedere una determinata agevolazione.

Ad esempio, nell'aprile 2024, il Federal Bureau of Investigation (FBI) ha emesso un avviso su una truffa di smishing ai danni di conducenti statunitensi.⁵ I truffatori inviano messaggi di testo fingendo di essere le agenzie di riscossione dei pedaggi e chi riceveva i messaggi veniva esortato a pagare una somma per pedaggi stradali insoluti. I messaggi contengono un link a un sito falso che ruba denaro e informazioni alle vittime.

Gli autori di un attacco si spacciano per agenti del supporto clienti di marchi e rivenditori affidabili come Amazon, Microsoft o persino di fornitori di servizi wireless della vittima. Di solito dicono che esiste un problema con l'account, un premio o un rimborso non riscosso. Di solito, questi messaggi indirizzano la vittima a un sito web falso che ruba i numeri della carta di credito o le informazioni bancarie.

Questi messaggi smishing sembrano provenire da compagnie di spedizioni come FedEx, UPS o un corriere postale. Dicono alla vittima che si è verificato un problema nella consegna di un pacco e chiedono di pagare una tassa di consegna del pacco o di accedere al proprio account per risolvere il problema. I truffatori quindi prendono i soldi o le informazioni sul conto per poi scomparire. Queste truffe sono più frequenti durante le feste, quando la maggior parte delle persone attendono la consegna di un pacco.

Nella compromissione dei messaggi aziendali (simili alla compromissione delle e-mail aziendali ma tramite SMS), gli hacker si spacciano per il datore di lavoro, un collega, un fornitore o un avvocato che ha bisogno di aiuto per un compito urgente. Queste truffe spesso richiedono di agire immediatamente e, nel peggiore dei casi, si concludono con la vittima che invia il denaro agli hacker.

I truffatori inviano un messaggio che sembra destinato a qualcuno diverso dalla vittima. Quando la vittima corregge l'“errore” del truffatore, il truffatore avvia una conversazione con la vittima.

Queste truffe con numeri errati tendono a essere a lungo termine, con il truffatore che cerca di guadagnarsi l'amicizia e la fiducia della vittima attraverso contatti ripetuti per mesi o addirittura anni. Il truffatore potrebbe anche fingersi di sviluppare sentimenti di affetto nei confronti della vittima. L'obiettivo è rubare i soldi della vittima attraverso una falsa opportunità di investimento, una richiesta di prestito o una storia simile.

In questa truffa, chiamata frode di autenticazione a più fattori (MFA), un hacker che ha già il nome utente e la password di una vittima tenta di rubare il codice di verifica o la password monouso necessaria per accedere al suo account.

L'hacker potrebbe fingersi un amico, affermare di essere stato bloccato dal suo account Instagram o Facebook e chiedere alla vittima di ricevere un codice per lui. La vittima ottiene un codice MFA, che in realtà è per il proprio account, e lo comunica all'hacker.

Alcune truffe di smishing inducono le vittime a scaricare app apparentemente legittime, ad esempio file manager, app di pagamento digitale, persino app antivirus, che sono in realtà malware o ransomware.

Il phishing è un termine ampio che comprende tutti gli attacchi informatici che utilizzano l'ingegneria sociale per indurre le vittime a pagare denaro, consegnare informazioni sensibili o scaricare malware. Smishing e vishing sono solo due tipi di attacchi di phishing che gli hacker possono utilizzare nei confronti delle loro vittime.

La differenza principale tra i diversi tipi di attacchi di phishing è il mezzo utilizzato per eseguirli. Negli attacchi di smishing, gli hacker prendono di mira le vittime utilizzando messaggi di testo o SMS. Negli attacchi di vishing (abbreviazione di voice phishing), gli hacker utilizzano comunicazioni vocali come telefonate e messaggi vocali per fingersi organizzazioni legittime e manipolare così le vittime.

Per aiutare a combattere le truffe di smishing, la FCC ha adottato una nuova norma che richiede ai provider di servizi wireless di bloccare i probabili messaggi di spam provenienti da numeri sospetti, inclusi numeri di telefono inutilizzati o non validi.⁶

Tuttavia, nessun filtro antispam è perfetto e i criminali informatici sono sempre alla ricerca di modi per aggirare queste misure. Gli individui e le organizzazioni possono adottare ulteriori misure per rafforzare le proprie difese contro gli attacchi di smishing, tra cui:

I sistemi operativi Android e iOS dispongono di protezioni e funzioni integrate, come il blocco di app non approvate e i filtri che inviano i testi sospetti in una cartella di spam.

A livello organizzativo, le aziende possono utilizzare soluzioni di unified endpoint management (UEM) e strumenti di rilevamento delle frodi per impostare i controlli di sicurezza mobile, applicare le policy di sicurezza e intercettare attività dannose.

Le organizzazioni possono bloccare più truffe addestrando i dipendenti a riconoscere i segnali di avviso di attacchi informatici e i tentativi di smishing, come numeri di telefono insoliti, mittenti sconosciuti, URL inaspettati e un elevato senso di urgenza.

Molte organizzazioni utilizzano simulazioni di smishing per aiutare i dipendenti ad acquisire nuove competenze a livello di cybersecurity. Queste simulazioni possono inoltre aiutare i team addetti alla sicurezza a scoprire le vulnerabilità nei sistemi informatici e nelle policy dell'organizzazione che espongono l'azienda a truffe.

Le organizzazioni possono porre rimedio a queste vulnerabilità combinando strumenti di rilevamento delle minacce con politiche per la gestione dei dati sensibili, l'autorizzazione dei pagamenti e la verifica delle richieste prima di agire su queste.