Smishing

Lo smishing è un tipo di attacco di cybersecurity che avviene tramite servizi di messaggistica breve (SMS) - messaggi di testo. Può fare affidamento su ingegneria sociale, allegati dannosi e siti fraudolenti per truffare le persone.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

Che cos'è lo smishing? 

Il termine “smishing” può sembrare ridicolo, ma il significato di smishing è meno divertente di quanto possa sembrare. Un attacco di smishing è un tipo di attacco di phishing che utilizza i messaggi di testo come vettore di attacco. Può fare affidamento su ingegneria sociale, allegati dannosi e siti fraudolenti per truffare le persone.

Una truffa smishing può essere facile da eseguire, difficile da rintracciare e pericolosa nell'impatto. Un attacco smishing riuscito può potenzialmente esporre le vostre password, immagini, video e altri dati sensibili a un truffatore e fungere da vettore di infezione per un malware sullo smartphone.

Ognuno dei miliardi di utenti di smartphone nel mondo è un potenziale bersaglio di smishing. Solo negli Stati Uniti, la Federal Trade Commission ha segnalato quasi 400.000 denunce di frode riguardanti messaggi indesiderati, inclusi gli attacchi di smishing nel 2021. I consumatori hanno dichiarato una perdita di oltre 80 milioni di dollari agli enti regolatori nello stesso anno.

Questa guida ti aiuterà a evitare gli attacchi di smishing e a imparare come prevenire lo smishing. Continua a leggere per ulteriori dettagli sui seguenti argomenti:

  • Definizione di smishing: cos'è un attacco di smishing nella cybersecurity?
  • Esempi di smishing
  • Smishing vs phishing
  • Cosa puoi fare in caso di un attacco di smishing
  • Come proteggerti dallo smishing

Definizione e spiegazione dello smishing

Ecco una rapida definizione di smishing: lo smishing è un tipo di attacco di cybersecurity che avviene tramite servizi di messaggistica breve (SMS), noto anche come messaggistica di testo. Alcuni esperti possono definirlo come un attacco su qualsiasi tipo di messaggio di testo, e non solo sui sistemi di messaggistica nativa mobile, come i messaggi sulle piattaforme social.

Un modo più semplice per definire lo smishing è chiamarlo un messaggio di phishing. Questo porta alla domanda: cos'è il phishing? Ebbene, il phishing è quando un attore di minacce si fa passare per un'entità fidata per ingannare un obiettivo inducendolo a commettere un errore di cybersecurity, come condividere informazioni riservate, solitamente via email. Un messaggio di phishing, noto anche come smishing, è il phishing tramite messaggi di testo.

Che cos'è un attacco di smishing?

Un attacco smishing consiste nell'utilizzo da parte di un attore di minacce di messaggi di testo maligni per violare la sicurezza informatica di un obiettivo. L'obiettivo di un attacco smishing è in genere quello di ottenere le seguenti informazioni riservate per il furto di identità o per reati finanziari:

  • Nomi
  • Indirizzi
  • Username
  • Password
  • Numeri di carta di credito
  • Codici delle carte di credito
  • Dati bancari

Un attacco di phishing tramite messaggi può anche essere altamente mirato. Quando un attore di minacce conosce il numero di telefono di una vittima, possono progettare un attacco convincente. Ad esempio, se un truffatore prende di mira il numero di cellulare di un dirigente finanziario, possono lanciare un attacco di smishing che sembra provenire da un potenziale contatto d'affari.

Potete leggere phishing vs spear phishing vs whaling per conoscere i diversi tipi di attacchi di ingegneria sociale che utilizzano i messaggi di testo come vettore di minaccia.

Come funziona lo smishing? 

Come il phishing, lo smishing ci inganna facendoci credere che i messaggi falsi siano legittimi, così che interagiamo con essi senza preoccupazioni. Gli attacchi di smishing funzionano utilizzando alcune o tutte le seguenti caratteristiche:

  • Contesto: I messaggi di smishing usano il contesto per sembrare autentici. Un messaggio di smishing può sembrare provenire dalla banca, dal tuo rivenditore preferito o dal tuo governo. Ad esempio, le truffe IRS-themed smishing che rubano informazioni personali e finanziarie stanno aumentando perché usano il contesto in modo efficace per guadagnare la fiducia della vittima.
  • Selezione dei bersagli: Le vittime di smishing possono essere scelte in base a demografia e affiliazioni locali. Ad esempio, una banda di estorsori potrebbe inviare messaggi falsi da un'istituzione finanziaria popolare in un certo prefisso a numeri locali. In alternativa, potrebbero inviare messaggi di phishing da un'università ai suoi studenti dopo aver ottenuto i numeri di telefono.
  • Ingegneria sociale: Un attacco di ingegneria sociale manipola le emozioni dell'obiettivo, come la paura, l'amore, la lussuria, l'avidità, la rabbia o la simpatia, per offuscare il suo giudizio. Ad esempio, un messaggio fraudolento che sembra provenire da una persona cara può fingere un'emergenza per indurre la vittima a inviare un trasferimento di denaro.
  • Allegati dannosi: Un messaggio di testo di phishing può contenere un allegato dannoso che sembra essere un'immagine, un video o un documento, ma è un virus, un adware, uno spyware, un trojan o un ransomware.
  • Link dannosi: Gli attacchi di smishing utilizzano spesso link dannosi, malware o siti fraudolenti.

Lo Smishing funziona anche facendo leva sulla semplicità dei messaggi di testo. È possibile individuare un'e-mail di phishing facendo attenzione a errori grammaticali, errori di ortografia, problemi di formattazione delle immagini, indirizzi e-mail strani e altre irregolarità. Ma i messaggi di testo sono solitamente più brevi e non riportano elementi grafici come i loghi aziendali.

Ad esempio, un tipico testo della vostra banca può essere lungo un paio di frasi e contenere un link a un rivenditore o a un sito web finanziario. A differenza di un'e-mail ufficiale, un testo di questo tipo è facile da falsificare.

Hackers hanno meno probabilità di commettere errori grammaticali quando scrivono una o due frasi in un attacco smishing . Inoltre, non devono preoccuparsi di replicare i loghi per far sembrare autentici i testi di phishing. Possono anche utilizzare tecniche di spoofing dell'ID del chiamante e telefoni usa e getta per coprire le loro tracce.

Esempi di smishing: diversi tipi di attacchi di smishing 

  1. Hai vinto un concorso o un premio e devi richiederlo.
  2. Qualcuno ti ha inviato un regalo o un coupon da attivare.
  3. La tua istituzione finanziaria deve confermare i tuoi dati.
  4. Un bonifico in attesa sul tuo conto richiede la tua autorizzazione.
  5. L'acquisto costoso che hai fatto necessita di una verifica.
  6. È stato rilevato un virus sul tuo telefono.
  7. Il tuo account è stato bloccato a causa di attività sospette o tentativi di accesso insoliti.

Smishing vs phishing: Qual è la differenza tra smishing e phishing? 

smishing

Smishing e phishing possono sembrare simili, ma non sono la stessa cosa. Qual è la differenza tra phishing e smishing? La differenza principale nel confronto tra smishing e phishing è che smishing utilizza gli SMS come mezzo di attacco, mentre il phishing è un termine generico per indicare qualsiasi e-mail, sito web, messaggio di testo o vocale che utilizza l'inganno per attaccare un obiettivo. In altre parole, lo smishing è un tipo di attacco di phishing che avviene tramite un messaggio di testo. L'obiettivo di entrambi gli attacchi è raccogliere informazioni personali per attività fraudolente. Ecco cosa hanno in comune i due metodi.

Cosa fare in caso di un attacco di smishing 

Segnala l'attacco 

La prima cosa che dovresti fare è segnalare l'attacco all'autorità competente con il maggior numero di dettagli possibile. Ad esempio, se sei il bersaglio di un attacco di smishing dell'IRS, invia un'email dell'attacco a phishing@irs.gov con i seguenti dettagli:

  • Numero ID chiamante phishing.
  • Uno screenshot dell'attacco.
  • Una copia del messaggio se non puoi fare uno screenshot.
  • La data, l'ora, il fuso orario e il numero del destinatario.

Anche altre organizzazioni sono state costrette a reagire a queste truffe. Ad esempio, banche e aziende di pagamento come PayPal hanno aperto canali per segnalare il phishing. Se usi PayPal, impara a riconoscere le email di phishing PayPal per proteggere il tuo account. 

Cambia tutte le password 

Se sospetti di essere il bersaglio di un attacco di smishing, cambia immediatamente tutte le tue password e PIN. La tua nuova password deve essere complessa e unica. Puoi leggere la nostra guida su come creare una password forte.

Blocca la tua carta 

Un attore malevolo potrebbe tentare di utilizzare la tua carta di debito o credito dopo aver ottenuto l'accesso ai tuoi dati sensibili. Ti consigliamo di congelare temporaneamente tutte le tue carte dopo aver cambiato le password per prevenire frodi finanziarie. Puoi bloccare la tua carta accedendo al tuo account della carta di credito o chiamando la tua istituzione finanziaria.

Informa anche il tuo emittente della carta di credito riguardo all'attacco di smishing. Potrebbero disabilitare la tua carta e emetterne una nuova con un altro insieme di numeri.

Monitora ulteriori attività 

Controlla i tuoi account per questo tipo di attività sospette:

  • Transazioni sconosciute sul tuo conto bancario o sulla tua carta di credito.
  • Posizioni di accesso insolite per i tuoi account.
  • Le tue immagini, video o messaggi di testo sensibili stanno trapelando.
  • Amici che ricevono messaggi sospetti da te.
  • Prestiti stipulati a tuo nome.
  • Iscrizione a programmi di aiuto finanziario del governo

Anche se non noti immediatamente attività sospette, tieni d'occhio i tuoi account a lungo termine dopo un attacco di smishing. Un ottimo modo per monitorare i tuoi conti finanziari per irregolarità è controllare i tuoi rapporti di credito.

La legge federale ti consente di accedere a un rapporto del credito gratuito ogni anno da un'agenzia di credito maggiore. Ciò equivale a tre rapporti gratuiti all'anno. E fino a dicembre 2023, chiunque negli Stati Uniti può accedere gratuitamente a un rapporto del credito settimanale da tutte e tre le agenzie.

Come bloccare i messaggi di smishing 

Dopo aver stabilito che un testo è fraudolento, è possibile bloccarlo su un dispositivo iOS o Android. Android o Android. Su un iPhone, andare alla pagina dei contatti e toccare Blocca questo chiamante. Su un telefono Android , andare alla pagina dei contatti e toccare Blocca contatto.

Entrambi i sistemi operativi offrono anche filtri che consentono di bloccare lo spam e altri messaggi indesiderati.

Come filtrare i messaggi su iPhone:

  1. Vai a Impostazioni.
  2. Tocca Messaggi.
  3. Scorri il pulsante accanto a Filtra mittenti sconosciuti.

Come filtrare i messaggi su Android:

  1. Vai a Messaggi.
  2. Tocca i tre puntini per aprire Impostazioni.
  3. Tocca Blocca numeri e messaggi.
  4. Attiva Protezione ID chiamante e spam.

Anche il tuo operatore di telefonia mobile può offrire strumenti anti-smishing:

Verizon

AT&T

T-Mobile

Come proteggerti dallo smishing 

Gli attacchi smishing possono essere complessi, utilizzando un linguaggio allarmistico, allegati malevoli, link non sicuri e siti web fraudolenti per compromettere la nostra sicurezza informatica. Proteggersi dallo smishing richiede preparazione su più fronti.

Fai attenzione ai messaggi urgenti 

I messaggi di phishing possono apparire urgenti per impedirvi di pensare chiaramente prima di reagire. La prima cosa da fare dopo aver ricevuto un messaggio urgente è fare un respiro profondo. Valutate la situazione prima di rispondere. È improbabile che un ente legittimo vi chieda informazioni sensibili o pagamenti via SMS. Se avete dei dubbi, cercate il numero di telefono pubblico dell'ente sul suo sito web ufficiale e chiamatelo direttamente.

Conferma numeri telefonici 

Controlla l'ID del chiamante. Cerca il numero sotto l'ID e verificane il contesto online per vedere se corrisponde alla chiamata.

Autenticazione a più fattori 

Attivate l'autenticazione a più fattori (MFA) sui vostri account per proteggerli dagli hackers che potrebbero avere accesso alle vostre credenziali di accesso. L'MFA obbliga gli utenti ad autenticare la propria identità in un altro modo quando si verificano attività sospette durante un tentativo di accesso.

Gli attacchi smishing potrebbero chiederti di aprire urgentemente un link per approfittare di una grande offerta o per pagare le tasse all'IRS ed evitare l'arresto. Questi link possono portarti a siti malintenzionati che rubano i tuoi dati della carta di credito o altre informazioni riservate. È meglio evitare di cliccare su qualsiasi link nei messaggi di testo. Verifica invece la fonte del messaggio.

Non rispondere a numeri sconosciuti 

Filtrare le chiamate può aiutarti a proteggerti dagli attacchi smishing. Un messaggio da un numero sconosciuto potrebbe far parte di una truffa.

Evita di tenere le informazioni della tua carta di credito salvate sul telefono 

Evitate di memorizzare i dati della vostra carta di credito sul telefono sotto forma di moduli web, file di testo o persino screenshot. Un attacco smishing che installa un Trojan o uno spyware sul vostro dispositivo potrebbe facilmente rubare queste informazioni. Individuate i segni di malware di questo tipo di attacco. Inoltre, utilizzate unantivirus gratuito download scansionare regolarmente il vostro sistema alla ricerca di virus, ransomware, spyware, adware e trojan.

Chiama le banche prima di agire su qualsiasi richiesta bancaria 

Non è insolito che le banche ti mandino messaggi riguardo acquisti recenti o limiti di credito. Ma è improbabile che ti richiedano informazioni sensibili per un trasferimento via SMS. Chiama sempre la tua banca per verificare qualsiasi richiesta arrivata via SMS o email.

Evita di condividere informazioni sulle password 

Non condividere mai nomi utente e password nei messaggi di testo, anche se ti fidi della fonte. Gli hacker potrebbero essere in grado di trovare queste informazioni nella cartella dei messaggi inviati del tuo dispositivo. 

Investi in soluzioni anti-malware 

Download uno strumento di sicurezza informatica per il vostro telefono per proteggervi da diversi tipi di attacchi. Ad esempio, Malwarebytes per Android protegge gli utenti Android da ogni tipo di malware. Inoltre, fornisce agli utenti una protezione contro i link/siti web dannosi e il phishing. Allo stesso modo, Malwarebytes per iOS protegge gli utenti di iPhone e iPad da malware, chiamate di spam, annunci, siti web di truffa e siti web di phishing.

L'ascesa dello smishing 

Come detto in precedenza, c'è un aumento evidente del phishing tramite SMS. Lo smishing è un vettore di attacco facile per i truffatori che sfruttano milioni di persone che si affidano ai messaggi di testo per comunicare.

I crimini di smishing possono generare diversi problemi di sicurezza e privacy, inclusi il furto d'identità. Gli esperti affermano che gli effetti del furto d'identità possono durare diversi anni, spaziando dalla perdita di tempo e denaro, debiti fiscali e danni al credito fino a un casellario giudiziario.

Un approccio proattivo alla sicurezza informatica può prevenire gli attacchi smishing . Trattate con cautela i messaggi di testo sospetti e armate il vostro dispositivo con un software di sicurezza che attenui il rischio di un attacco di phishing.

Correlato: Cos'è la messaggistica RCS?