Che cos'è lo smishing?
Trend Micro Email Security: la protezione avanzata per proteggere la tua email da attacchi e truffe!
Smishing significato
Lo smishing è una forma di phishing che utilizza i telefoni cellulari come piattaforma di attacco. Il criminale compie l'attacco con l'intento di raccogliere informazioni personali, compresi il codice fiscale e/o il numero di carta di credito. Lo smishing usa messaggi di testo o SMS, da cui il nome "SMiShing".
Gli attacchi di smishing utilizzano gli SMS, più comunemente noti come messaggi di testo. Questa forma di attacco è diventata sempre più popolare a causa del fatto che le persone sono più propense a fidarsi di un messaggio che arriva sul loro telefono attraverso un'app di messaggistica piuttosto che da un messaggio consegnato tramite email.
Anche se molte vittime non associano le truffe di phishing ai messaggi di testo personali, la verità è che è più facile per i malintenzionati trovare il numero di telefono che l'email di una vittima. Nel caso dei numeri di telefono esiste un numero finito di opzioni: negli Stati Uniti un numero di telefono è composto da 10 cifre.
Al contrario, un indirizzo email non è limitato nelle dimensioni, anche se è previsto un numero ragionevole di caratteri. Le email possono includere numeri, lettere e simboli come !, #, %, ad esempio. È molto più facile mettere insieme dieci cifre a caso per raggiungere una vittima che entrare in contatto con una persona tramite un indirizzo email.
L'hacker può semplicemente inviare messaggi a tutte le combinazioni di cifre della stessa lunghezza di un numero di telefono. Possono provare tutte le combinazioni di cifre senza pericolo e senza sbagliare.. Gartner riferisce che il 98% dei messaggi di testo viene letto e il 45% riceve risposta. Questo rende estremamente logico per gli hacker utilizzare i messaggi di testo come vettore di attacco, soprattutto quando, come riportato da Gartner, solo il 6% delle email riceve risposte.
Come funzionano gli attacchi di smishing
Con un messaggio di testo l'hacker può tentare di raggiungere diversi tipi di risultati. Questo include il furto di dati personali dell'utente, spacciandosi per un rappresentante della sua banca. Può cercare di far cliccare l'utente su un collegamento incluso nel messaggio di testo per connettersi al sito web della banca e verificare un recente addebito sospetto. L'hacker potrebbe chiedere di chiamare il numero del servizio clienti, incluso per comodità nel messaggio di testo, per parlare di un recente addebito sospetto o di un account compromesso.
Per sottrarre informazioni sensibili, gli hacker tentano anche di usare misure che fanno leva sui sentimenti. Un esempio sono i messaggi riguardanti i soccorsi per gli uragani in cui i malintenzionati chiedono una donazione per beneficenza. L'hacker chiede di cliccare sul collegamento incluso e di inserire i dati della carta di credito, l'indirizzo e spesso il codice fiscale. Una volta che l'hacker ottiene il numero di carta di credito, questi può anche generare un addebito sulla carta di credito su base mensile per evitare di allarmare il titolare.
Phishing tramite cellulare
Un altro esempio di attacco smishing è un'offerta del provider che propone uno sconto su un servizio o un aggiornamento del telefono. Il messaggio esorta a cliccare sul collegamento fornito per attivare l'offerta. Una volta raggiunta la pagina web falsificata che riproduce il sito del provider, il sito chiede di confermare il numero di carta di credito, l'indirizzo e magari anche il codice fiscale. Bisogna ricordare che se è troppo bello per essere vero, probabilmente lo è.
Phishing tramite messaggistica istantanea
Il phishing effettuato utilizzando un programma di messaggistica istantanea gratuito, come Messenger di Facebook o WhatsApp, non rientra tecnicamente nell'ambito dello smishing, ma è strettamente correlato. L'hacker sfrutta il crescente livello di comfort che gli utenti hanno nell'aprire messaggi e rispondere a sconosciuti attraverso le piattaforme di social media.
Come un vero schema di phishing, l'obiettivo dell'attacco è la comunicazione di dati personali, tra cui password e/o numeri di carte di credito, al malintenzionato. Per ottenere tali informazioni, l'aggressore può proporre un'offerta o qualcosa di valore. In queste offerte è spesso incluso un collegamento cliccabile.
Mentre un messaggio da uno sconosciuto in cerca di informazioni è spesso un buon indicatore di un possibile schema di phishing di messaggistica istantanea, questi attacchi possono sembrare provenire da persone che l'utente conosce e con cui è già in contatto. Questo accade spesso quando l'account di un contatto dell'utente su un social media è stato a sua volta violato.
Come prevenire gli attacchi di Smishing
Per proteggere i tuoi dati personali e aziendali, è fondamentale riconoscere i segnali di smishing e adottare misure preventive.
Evita di interagire con mittenti sconosciuti
Presta attenzione ai messaggi provenienti da numeri sconosciuti o sospetti, specialmente se contengono link o richieste urgenti. Gli attacchi di smishing sfruttano spesso l’urgenza o offerte allettanti per indurre l’utente a reagire. Elimina i messaggi sospetti senza rispondere.
Mantieni private le informazioni personali
Non inviare mai tramite SMS dati sensibili come password, numeri di conto bancario o dati delle carte di credito. Le organizzazioni affidabili non richiederanno mai queste informazioni via messaggio. Considera qualsiasi richiesta di questo tipo come sospetta e segnala l’incidente.
Verifica tramite fonti ufficiali
In caso di messaggio sospetto apparentemente da un’azienda legittima, non cliccare sui link né rispondere direttamente. Contatta l’azienda tramite il sito ufficiale o un numero verificato per confermare l’autenticità. Fidarsi di un SMS senza controllo può comportare violazioni di sicurezza.
Usa strumenti di sicurezza mobile
Installa app di sicurezza affidabili in grado di rilevare link di phishing e bloccare messaggi dannosi. Mantenere il software aggiornato aggiunge una protezione extra contro lo smishing e altre minacce digitali.
Esempi di smishing
Truffe bancarie:
Gli hacker inviano messaggi di testo che sembrano provenire dalla tua banca, ti avvisano di attività sospette o ti chiedono di verificare i dettagli del conto. Se la vittima fa clic sul collegamento nell'avviso, verrà indirizzata a un sito Web fraudolento progettato per rubare le credenziali di accesso, le password e le informazioni finanziarie.
Truffe governative:
In queste truffe, i cyber criminali fingono di essere agenzie governative, come l'IRS o le forze dell'ordine locali. Possono affermare che il destinatario deve pagare multe o tasse, chiedendogli di cliccare su un link o di fornire dati personali per evitare sanzioni.
Truffe di consegna:
Gli aggressori spesso impersonano aziende di spedizione come FedEx o UPS, informando le vittime di problemi con la consegna di un pacco. Alle vittime viene chiesto di pagare una commissione o di fornire i dati di accesso per risolvere il problema, che porta al furto di informazioni personali o di pagamento.
Esempio di truffa “consegna fallita”.
Truffe dell'assistenza clienti:
In questo tipo di smishing, i truffatori si fingono agenti del servizio clienti di aziende note come Amazon o Microsoft. Sostengono che c'è un problema con l'account della vittima o offrono ricompense false, indirizzando le vittime verso siti web di phishing per rubare dettagli personali o finanziari.
Numero errato di truffe:
Gli hacker fingono di averti inviato erroneamente un testo destinato a qualcun altro. Una volta che rispondi, si impegnano in una conversazione, creando lentamente fiducia prima di tentare di indurti a condividere informazioni personali o inviare denaro.
Truffa del punteggio di credito diminuito
Questa truffa tenta di indurti a cliccare su un link che porta a un sito web pericoloso, affermando che il tuo credito è diminuito.
Esempio di truffa “credito caduto”.
Soluzione Email Security di Trend Micro
Trend Vision One™ Email and Collaboration Security fornisce una protezione leader del settore contro le minacce avanzate che colpiscono email, strumenti di collaborazione e vettori emergenti come il smishing, una forma di phishing tramite SMS. Blocca efficacemente phishing, compromissione della posta aziendale (BEC), ransomware e altri attacchi mirati grazie al rilevamento delle minacce basato sull’intelligenza artificiale e all’analisi dinamica in sandbox.
Verificando l’identità del mittente, analizzando in tempo reale URL e allegati, e sfruttando tecniche di difesa intergenerazionale, garantisce visibilità e controllo completi sui canali di comunicazione basati sul cloud—aiutandoti a prevenire le minacce in continua evoluzione, sia via email che su piattaforme di messaggistica mobile.
Informazioni correlate su Pharming
Statistiche ed esempi di phishing via e-mail nel mondo nel 2023
Esplorate la necessità di andare oltre la sicurezza integrata di Microsoft 365 e Google Workspace™ sulla base delle minacce e-mail rilevate nel 2023.
Migliori pratiche di sicurezza e-mail per la prevenzione del phishing
Scoprite le ultime tendenze del phishing e le best practice per la sicurezza delle e-mail per migliorare la vostra sicurezza e-mail e ridurre il rischio informatico.