Gli attacchi di smishing funzionano in modo molto simile a quello di altri tipi di attacchi di phishing. I truffatori utilizzare messaggi fasulli e link dannosi per indurre le persone a mettere a rischio i loro cellulari, conti bancari o dati personali. La differenza è che lo smishing avviene tramite app di SMS o messaggistica invece che tramite e-mail o telefonate.

I messaggi di testo offrono ai truffatori alcuni vantaggi rispetto alle e-mail. Le persone sono abituate ad essere contattate tramite SMS dalle banche e dai brand. Le persone sono anche più propense a fare clic sui link contenuti nei messaggi di testo. Le e-mail hanno una percentuale di clic media dell'1,33%, secondo Contstant Contact (link esterno a ibm.com). Per quanto riguarda invece le frequenze di clic degli SMS, Klaviyo rende noto che si aggirano tra l'8,9% e il 14,5% (link esterno a ibm.com).

A livello tecnico, i truffatori possono facilmente mascherare le origini dei messaggi di smishing. Possono effettuare lo spoofing di numeri di telefono, utilizzare telefoni usa-e-getta oppure utilizzare del software per inviare messaggi di testo tramite e-mail. È anche più difficile individuare i link pericolosi, sui cellulari. Su un computer, gli utenti possono passare il puntatore del mouse su un link per vedere dove porta davvero. Gli smartphone non dispongono di questa opzione. Inoltre, le persone sono abituate a vedere URL abbreviati nei messaggi di testo dai brand reali.

Nel 2020, la Federal Communications Commission (FCC) ha imposto alle società di telecomunicazioni di adottare il protocollo STIR/SHAKEN (link esterno a ibm.com). STIR/SHAKEN autentica le telefonate. Ecco perché alcuni telefoni mobili ora visualizzano messaggi tipo "scam likely" (probabile truffa) o "spam likely" (sospetto spam) quando si ricevono chiamate da numeri sospetti. STIR/SHAKEN ha reso le chiamate truffa più facili da individuare, ma i messaggi di testo non ne sono interessati. Per questo motivo, molti truffatori hanno spostato la loro attenzione agli attacchi di smishing.

Come altre forme di ingegneria sociale, gli attacchi di smishing fanno affidamento su pretesti. Per "pretesti" si intende l'uso di false storie per fare leva sulle emozioni delle vittime e indurle a eseguire gli ordini di un truffatore. Alcuni pretesti di smishing comuni includono:

• Fingere di essere un'istituzione finanziaria: i truffatori possono fingere di essere la banca della vittima segnalandogli un problema con il suo conto. Se la vittima segue il link, viene portata a un falso sito web o a un'app che ruba informazioni finanziarie sensibili come i PIN, le password e i numeri di conto bancario o carta di credito. Nel 2018, un gruppo di truffatori (link esterno a ibm.com) ha utilizzato questo metodo per rubare 100.000 dollari ai clienti della Fifth Third Bank.

• Fingere di essere la pubblica amministrazione: i truffatori possono fingere di essere agenti di polizia, rappresentanti dell'Agenzia delle Entrate o altri funzionari della pubblica amministrazione. Questi testi di smishing spesso sostengono che la vittima deva pagare una multa oppure deve agire per avere diritto a qualche prestazione della pubblica amministrazione. Ad esempio, all'apice della pandemia di COVID-19, la Federal Trade Commission (FTC) ha messo in guardia da attacchi smishing (link esterno a ibm.com) che offrivano sgravi fiscali, test gratuiti per il COVID e servizi simili. Quando le vittime seguivano i link in questi messaggi di testo, i truffatori rubavano i loro codici di previdenza sociale e altre informazioni che potevano utilizzare per commettere furti d'identità. 

• Fingere di essere l'assistenza clienti: gli aggressori si spacciano per agenti dell'assistenza clienti di brand di fiducia come Amazon, Microsoft o persino il provider wireless della vittima. Di solito dicono che c'è un problema con l'account della vittima o una ricompensa o un rimborso non reclamati. Di norma, questi messaggi di testo inviano la vittima a un sito web fasullo che ruba le sue informazioni bancarie o quelle relative alle carte di credito.

• Truffe dei pacchi: questi messaggi di smishing affermano di provenire da una società di spedizioni come FedEx, UPS o il servizio postale degli Stati Uniti. Dicono alla persona presa di mira che c'è stato un problema nella consegna di un pacco. Alla vittima viene chiesto di pagare una "spesa di consegna" o di accedere al suo account per correggere il problema. Ovviamente, i truffatori prendono i soldi o le informazioni sull'account e si dileguano. Queste truffe di phishing tramite SMS sono comuni nei periodi delle festività quando molte persone aspettano dei pacchi. 

• Truffe di compromissione di testo aziendale: come con le truffe di compromissione della posta elettronica aziendale, gli hacker fingono di essere il capo di una persona che ha bisogno di aiuto con un compito urgente. La differenza è che i truffatori utilizzano dei messaggi SMS per questa versione dell'aggressione. Il più delle volte, queste truffe si concludono con l'invio di denaro agli hacker da parte della vittima.

• Truffe del numero sbagliato: i truffatori fingono di inviare un messaggio di testo al "numero sbagliato". Quando la vittima corregge l'"errore" del truffatore, quest'ultimo inizia una conversazione con la scusa di iniziare un'amicizia con la vittima. Si tratta tendenzialmente di una truffa a lungo termine, in cui il truffatore cerca di guadagnarsi la fiducia della vittima attraverso contatti ripetuti nel corso di mesi o anni. Il truffatore può persino fingere di sviluppare sentimenti romantici per la vittima. L'obiettivo è infine quello di rubare il denaro della vittima attraverso una falsa opportunità di investimento, una richiesta di prestito o una storia simile.

• Frode dell'autenticazione multifattore (MFA): gli hacker provano a rubare il codice MFA della vittima per riuscire ad accedere ai suoi social media, alla sua e-mail o al suo conto bancario. In uno scenario comune di frode MFA, l'hacker finge di essere uno degli amici della vittima. Dicono che non riescono più ad accedere al loro account Instagram o Facebook a causa di un blocco e che hanno bisogno che la vittima riceva un codice per loro. La vittima ottiene un codice MFA - che in realtà è per il suo account - e lo dà all'hacker.

• Download di app fasulle: alcune truffe di smishing inducono le vittime a scaricare app fasulle che in realtà sono malware o ransomware. I malware sono spesso dissimulati come gestori file, app antivirus o app per il prestito di denaro. Queste app possono sembrare legittime ma, in segreto, acquisiscono i dati sensibili della vittima o li tengono in ostaggio. 

Molti esperti di sicurezza informatica ritengono che lo smishing diventerà più comune nei prossimi anni. Lucia Milică, CISO di Proofpoint (link esterno a ibm.com) ritiene che nei mercati di malware spunteranno degli strumenti di smishing, consentendo ai truffatori tecnicamente meno esperti di inviare messaggi di testo dannosi.

Gartner prevede (link esterno a ibm.com) un aumento dei tentativi di phishing "multicanale" che combinano testo, e-mail, telefonate e altri canali di comunicazione. Il Lazarus Group, una banda di hacker sostenuta dalla Corea del Nord, è noto per l'utilizzo di tattiche multicanale. Ad esempio, il gruppo ha utilizzato falsi profili LinkedIn per fingersi selezionatori nel campo degli scambi di criptovaluta (link esterno a ibm.com). Gli hacker contattano le vittime con il pretesto di discutere di opportunità di lavoro. Gli hacker spostano le conversazioni da LinkedIn a SMS o WhatsApp, dove inducono le loro vittime a scaricare trojan horse o altro malware. 

La FCC (link esterno a ibm.com) sta prendendo in considerazione una norma che imponga ai provider wireless di bloccare i messaggi di testo indesiderati. Tuttavia, le persone e le aziende possono anche adottare delle misure per proteggersi:

• Soluzioni di sicurezza informatica per i dispositivi mobili: i sistemi operativi Android e iOS hanno delle protezioni integrate, come il blocco delle app non approvate e il filtro dei messaggi di testo sospetti che vengono indirizzati a una cartella di posta indesiderata. A livello organizzativo, le aziende possono utilizzare soluzioni UEM (unified endpoint management) per impostare controlli e politiche di sicurezza per i dispositivi mobili.

• Formazione di sensibilizzazione alla sicurezza: formare le persone a riconoscere i segnali di allarme di tentativi di smishing - come numeri di telefono insoliti, URL imprevisti e un accresciuto senso di urgenza - possono contribuire a proteggere un'organizzazione. La formazione può anche stabilire delle regole per la gestione dei dati sensibili, l'autorizzazione dei pagamenti e la verifica delle richieste prima dare loro seguito.