Smishing

Lo smishing è un tipo di attacco di cybersecurity che avviene tramite servizi di messaggistica breve (SMS) - messaggi di testo. Può fare affidamento su ingegneria sociale, allegati dannosi e siti fraudolenti per truffare le persone.

.st0{fill:#0D3ECC;} DOWNLOAD MALWAREBYTES GRATUITO


Anche per Windows, iOS, Android, Chromebook e For Business

Che cos'è smishing? 

Il termine “smishing” può sembrare ridicolo, ma il significato di smishing è meno divertente di quanto possa sembrare. Un attacco di smishing è un tipo di attacco di phishing che utilizza i messaggi di testo come vettore di attacco. Può fare affidamento su ingegneria sociale, allegati dannosi e siti fraudolenti per truffare le persone.

Una truffa di smishing può essere facile da eseguire, difficile da tracciare e pericolosa nei suoi effetti. Un attacco di smishing riuscito può potenzialmente esporre le tue password, foto, video e altri dati sensibili a un truffatore, funzionando anche come vettore di infezione per un drop di malware sul tuo smartphone.

Ognuno dei miliardi di utenti di smartphone nel mondo è un potenziale bersaglio di smishing. Solo negli Stati Uniti, la Federal Trade Commission ha segnalato quasi 400.000 denunce di frode riguardanti messaggi indesiderati, inclusi gli attacchi di smishing nel 2021. I consumatori hanno dichiarato una perdita di oltre 80 milioni di dollari agli enti regolatori nello stesso anno.

Questa guida ti aiuterà a evitare gli attacchi di smishing e a imparare come prevenire lo smishing. Continua a leggere per ulteriori dettagli sui seguenti argomenti:

  • Definizione di smishing: cos'è un attacco di smishing nella cybersecurity?
  • Esempi di smishing
  • Smishing vs phishing
  • Cosa puoi fare in caso di un attacco di smishing
  • Come proteggerti dallo smishing

Definizione e spiegazione dello smishing

Ecco una rapida definizione di smishing: lo smishing è un tipo di attacco di cybersecurity che avviene tramite servizi di messaggistica breve (SMS), noto anche come messaggistica di testo. Alcuni esperti possono definirlo come un attacco su qualsiasi tipo di messaggio di testo, e non solo sui sistemi di messaggistica nativa mobile, come i messaggi sulle piattaforme social.

Un modo più semplice per definire lo smishing è chiamarlo un messaggio di phishing. Questo porta alla domanda: cos'è il phishing? Ebbene, il phishing è quando un attore di minacce si fa passare per un'entità fidata per ingannare un obiettivo inducendolo a commettere un errore di cybersecurity, come condividere informazioni riservate, solitamente via email. Un messaggio di phishing, noto anche come smishing, è il phishing tramite messaggi di testo.

Che cos'è un attacco di smishing?

Un attacco di smishing si verifica quando un attore di minacce utilizza messaggi di testo dannosi per violare la cybersicurezza di un obiettivo. Lo scopo di un attacco di smishing è solitamente ottenere le seguenti informazioni riservate per il furto d'identità o crimini finanziari:

  • Nomi
  • Indirizzi
  • Username
  • Password
  • Numeri di carta di credito
  • Codici delle carte di credito
  • Dati bancari

Un attacco di phishing tramite messaggi può anche essere altamente mirato. Quando un attore di minacce conosce il numero di telefono di una vittima, possono progettare un attacco convincente. Ad esempio, se un truffatore prende di mira il numero di cellulare di un dirigente finanziario, possono lanciare un attacco di smishing che sembra provenire da un potenziale contatto d'affari.

Puoi approfondire leggendo phishing vs spear phishing vs whaling per conoscere i diversi tipi di attacchi di social engineering che utilizzano i messaggi di testo come vettore di minaccia.

Come funziona lo smishing? 

Come il phishing, lo smishing ci inganna facendoci credere che i messaggi falsi siano legittimi, così che interagiamo con essi senza preoccupazioni. Gli attacchi di smishing funzionano utilizzando alcune o tutte le seguenti caratteristiche:

  • Contesto: I messaggi di smishing usano il contesto per sembrare autentici. Un messaggio di smishing può sembrare provenire dalla banca, dal tuo rivenditore preferito o dal tuo governo. Ad esempio, le truffe IRS-themed smishing che rubano informazioni personali e finanziarie stanno aumentando perché usano il contesto in modo efficace per guadagnare la fiducia della vittima.
  • Selezione dei bersagli: Le vittime di smishing possono essere scelte in base a demografia e affiliazioni locali. Ad esempio, una banda di estorsori potrebbe inviare messaggi falsi da un'istituzione finanziaria popolare in un certo prefisso a numeri locali. In alternativa, potrebbero inviare messaggi di phishing da un'università ai suoi studenti dopo aver ottenuto i numeri di telefono.
  • Social engineering: Un attacco di social engineering manipola le emozioni del bersaglio, come paura, amore, desiderio, avarizia, rabbia o simpatia, per offuscare il loro giudizio. Ad esempio, un messaggio fraudolento che sembra provenire da una persona cara potrebbe simulare un'emergenza per ingannare la vittima a inviare un trasferimento di denaro.
  • Allegati malevoli: Un messaggio di testo di phishing potrebbe avere allegato un file malevolo che sembra essere una foto, un video o un documento, ma è un virus, adware, spyware, Trojan o ransomware.
  • Link dannosi: Gli attacchi di smishing utilizzano spesso link dannosi, malware o siti fraudolenti.

Lo smishing funziona anche facendo affidamento sulla semplicità dei messaggi di testo. Puoi individuare un'email di phishing facendo attenzione a errori grammaticali, errori di ortografia, problemi di formattazione delle immagini, indirizzi email strani e altre irregolarità. Ma i messaggi di testo sono solitamente più brevi e non contengono grafica come i loghi aziendali.

Ad esempio, un tipico messaggio dalla tua banca potrebbe essere di un paio di frasi e contenere un link a un rivenditore o a un sito finanziario. A differenza di un'email ufficiale, un testo simile è facile da falsificare.

Gli hacker hanno meno probabilità di commettere errori grammaticali quando scrivono una o due frasi in un attacco di smishing. E non devono preoccuparsi di replicare i loghi per far sembrare autentici i messaggi di phishing. Possono anche usare tecniche di spoofing dell'ID del chiamante e telefoni usa e getta per coprire le loro tracce.

Esempi di smishing: diversi tipi di attacchi di smishing 

  1. Hai vinto un concorso o un premio e devi richiederlo.
  2. Qualcuno ti ha inviato un regalo o un coupon da attivare.
  3. La tua istituzione finanziaria deve confermare i tuoi dati.
  4. Un bonifico in attesa sul tuo conto richiede la tua autorizzazione.
  5. L'acquisto costoso che hai fatto necessita di una verifica.
  6. È stato rilevato un virus sul tuo telefono.
  7. Il tuo account è stato bloccato a causa di attività sospette o tentativi di accesso insoliti.

Smishing vs phishing: Qual è la differenza tra smishing e phishing? 

smishing-vs-phishing

Smishing e phishing possono sembrare simili, ma non sono proprio la stessa cosa. Quindi, qual è la differenza tra phishing e smishing? La differenza più grande nel confronto smishing vs phishing è che lo smishing utilizza l'SMS come mezzo di attacco, mentre il phishing è un termine generico per email, siti web, messaggi di testo o vocali che utilizzano l'inganno per attaccare un obiettivo. In altre parole, lo smishing è un tipo di attacco di phishing che avviene tramite messaggio di testo. Gli obiettivi di entrambi gli attacchi sono raccogliere le tue informazioni personali per attività fraudolente. Quindi, questo è ciò che entrambi i metodi hanno in comune.

Cosa fare in caso di un attacco di smishing 

Segnala l'attacco 

La prima cosa che dovresti fare è segnalare l'attacco all'autorità competente con il maggior numero di dettagli possibile. Ad esempio, se sei il bersaglio di un attacco di smishing dell'IRS, invia un'email dell'attacco a phishing@irs.gov con i seguenti dettagli:

  • Numero ID chiamante phishing.
  • Uno screenshot dell'attacco.
  • Una copia del messaggio se non puoi fare uno screenshot.
  • La data, l'ora, il fuso orario e il numero del destinatario.

Anche altre organizzazioni sono state costrette a reagire a queste truffe. Ad esempio, banche e aziende di pagamento come PayPal hanno aperto canali per segnalare il phishing. Se usi PayPal, impara a riconoscere le email di phishing PayPal per proteggere il tuo account. 

Cambia tutte le password 

Se sospetti di essere il bersaglio di un attacco di smishing, cambia immediatamente tutte le tue password e PIN. La tua nuova password deve essere complessa e unica. Puoi leggere la nostra guida su come creare una password forte.

Blocca la tua carta 

Un attore malevolo potrebbe tentare di utilizzare la tua carta di debito o credito dopo aver ottenuto l'accesso ai tuoi dati sensibili. Ti consigliamo di congelare temporaneamente tutte le tue carte dopo aver cambiato le password per prevenire frodi finanziarie. Puoi bloccare la tua carta accedendo al tuo account della carta di credito o chiamando la tua istituzione finanziaria.

Informa anche il tuo emittente della carta di credito riguardo all'attacco di smishing. Potrebbero disabilitare la tua carta e emetterne una nuova con un altro insieme di numeri.

Monitora ulteriori attività 

Controlla i tuoi account per questo tipo di attività sospette:

  • Transazioni sconosciute sul tuo conto bancario o sulla tua carta di credito.
  • Posizioni di accesso insolite per i tuoi account.
  • Le tue immagini, video o messaggi di testo sensibili stanno trapelando.
  • Amici che ricevono messaggi sospetti da te.
  • Prestiti stipulati a tuo nome.
  • Iscrizione a programmi di aiuto finanziario del governo

Anche se non noti immediatamente attività sospette, tieni d'occhio i tuoi account a lungo termine dopo un attacco di smishing. Un ottimo modo per monitorare i tuoi conti finanziari per irregolarità è controllare i tuoi rapporti di credito.

La legge federale ti consente di accedere a un rapporto del credito gratuito ogni anno da un'agenzia di credito maggiore. Ciò equivale a tre rapporti gratuiti all'anno. E fino a dicembre 2023, chiunque negli Stati Uniti può accedere gratuitamente a un rapporto del credito settimanale da tutte e tre le agenzie.

Come bloccare i messaggi di smishing 

Dopo aver determinato che un testo è fraudolento, puoi bloccarlo su un telefono iOS o Android. Su un iPhone, vai alla pagina dei contatti e tocca Blocca questo chiamante. Su un telefono Android, vai alla pagina dei contatti e tocca Blocca contatto.

Entrambi i sistemi operativi offrono anche filtri che ti permettono di bloccare spam e altri testi indesiderati.

Come filtrare i messaggi su iPhone:

  1. Vai a Impostazioni.
  2. Tocca Messaggi.
  3. Scorri il pulsante accanto a Filtra mittenti sconosciuti.

Come filtrare i messaggi su Android:

  1. Vai a Messaggi.
  2. Tocca i tre puntini per aprire Impostazioni.
  3. Tocca Blocca numeri e messaggi.
  4. Attiva Protezione ID chiamante e spam.

Anche il tuo operatore di telefonia mobile può offrire strumenti anti-smishing:

Verizon

AT&T

T-Mobile

Come proteggerti dallo smishing 

Gli attacchi smishing possono essere complessi, utilizzando un linguaggio allarmistico, allegati malevoli, link non sicuri e siti web fraudolenti per compromettere la nostra sicurezza informatica. Proteggersi dallo smishing richiede preparazione su più fronti.

Fai attenzione ai messaggi urgenti 

I messaggi di phishing possono sembrare urgenti per impedirti di pensare chiaramente prima di reagire. La prima cosa da fare quando ricevi un messaggio urgente è fare un respiro profondo. Valuta la situazione prima di rispondere. È improbabile che un'entità legittima chieda le tue informazioni sensibili o un pagamento tramite messaggio. Se hai dubbi, trova il numero dell'entità elencato pubblicamente sul loro sito ufficiale e chiamali direttamente.

Conferma numeri telefonici 

Controlla l'ID del chiamante. Cerca il numero sotto l'ID e verificane il contesto online per vedere se corrisponde alla chiamata.

Autenticazione a più fattori 

Attiva l’autenticazione a più fattori (MFA) sui tuoi account per proteggerli dagli hacker che potrebbero avere accesso alle tue credenziali di accesso. La MFA obbliga gli utenti a confermare la propria identità in un altro modo quando c'è attività sospetta durante un tentativo di accesso.

Gli attacchi smishing potrebbero chiederti di aprire urgentemente un link per approfittare di una grande offerta o per pagare le tasse all'IRS ed evitare l'arresto. Questi link possono portarti a siti malintenzionati che rubano i tuoi dati della carta di credito o altre informazioni riservate. È meglio evitare di cliccare su qualsiasi link nei messaggi di testo. Verifica invece la fonte del messaggio.

Non rispondere a numeri sconosciuti 

Filtrare le chiamate può aiutarti a proteggerti dagli attacchi smishing. Un messaggio da un numero sconosciuto potrebbe far parte di una truffa.

Evita di tenere le informazioni della tua carta di credito salvate sul telefono 

Evita di memorizzare i dati della tua carta di credito sul tuo telefono sotto forma di moduli web, file di testo o persino screenshot. Un attacco smishing che installa un Trojan o uno spyware sul tuo dispositivo potrebbe facilmente rubare queste informazioni. Riconosci i segnali di malware di tale attacco. Inoltre, utilizza un download gratuito di antivirus per scansionare regolarmente il tuo sistema alla ricerca di virus, ransomware, spyware, adware e Trojan.

Chiama le banche prima di agire su qualsiasi richiesta bancaria 

Non è insolito che le banche ti mandino messaggi riguardo acquisti recenti o limiti di credito. Ma è improbabile che ti richiedano informazioni sensibili per un trasferimento via SMS. Chiama sempre la tua banca per verificare qualsiasi richiesta arrivata via SMS o email.

Evita di condividere informazioni sulle password 

Non condividere mai nomi utente e password nei messaggi di testo, anche se ti fidi della fonte. Gli hacker potrebbero essere in grado di trovare queste informazioni nella cartella dei messaggi inviati del tuo dispositivo. 

Investi in soluzioni anti-malware 

Scarica uno strumento di cybersecurity per il tuo telefono per proteggerti da diversi tipi di attacchi. Ad esempio, Malwarebytes per Android protegge gli utenti Android da tutti i tipi di malware. Offre anche protezione contro link e siti dannosi e phishing agli utenti. Allo stesso modo, Malwarebytes per iOS protegge gli utenti iPhone e iPad da malware, chiamate spam, annunci, siti truffa e di phishing.

L'ascesa dello smishing 

Come detto in precedenza, c'è un aumento evidente del phishing tramite SMS. Lo smishing è un vettore di attacco facile per i truffatori che sfruttano milioni di persone che si affidano ai messaggi di testo per comunicare.

I crimini di smishing possono generare diversi problemi di sicurezza e privacy, inclusi il furto d'identità. Gli esperti affermano che gli effetti del furto d'identità possono durare diversi anni, spaziando dalla perdita di tempo e denaro, debiti fiscali e danni al credito fino a un casellario giudiziario.

Un approccio proattivo alla sicurezza informatica può prevenire gli attacchi smishing. Tratta con cautela i messaggi di testo sospetti e dota il tuo dispositivo di software di sicurezza che mitiga il rischio di un attacco phishing.

Correlato: Cos'è la messaggistica RCS?