Cos'è lo smishing? Una guida agli attacchi di phishing con SMS
Scoprite come capire, individuare ed evitare gli attacchi di smishing.
Gli attacchi di phishing tramite SMS o “smishing” sono sempre più frequenti. Quanto più si conoscono gli attacchi di smishing, le loro capacità e i rischi potenziali, tanto più sarà facile identificare e prevenire i danni derivanti da un attacco.
In questa semplice guida vi mostreremo cos'è lo smishing, come individuarlo e come evitare di cadere vittima di un attacco di smishing.
Cosa significa "smishing"?
Lo smishing (ovvero, il phishing con SMS) è un attacco informatico in cui l'aggressore invia un messaggio SMS falso al tuo numero di telefono, spesso contenente un'offerta per un prodotto gratuito oppure un avviso urgente che riguarda la banca o altre informazioni riservate.
Lo smishing è particolarmente pericoloso per coloro che non hanno nozioni di base sulla cybersecurity, perché gli SMS sono formulati in modo da essere credibili. Alcuni messaggi di smishing includono anche vaghe informazioni personali per trarre più facilmente in inganno i destinatari.
Come funzionano gli attacchi di smishing?
Gli attacchi di smishing sono considerati attacchi di social engineering perché si approfittano delle persone attraverso la manipolazione psicologica. Nella maggior parte dei casi, il messaggio di smishing è progettato per creare un senso di urgenza. I messaggi possono includere frasi o parole di richiamo come "agisci subito", "il tuo account è a rischio se non clicchi qui" o "saranno intraprese azioni legali contro di te se non rispondi a questo messaggio". Tali messaggi possono ispirare paura e infine indurre ad agire.
I criminali informatici ottengono i numeri di telefono tramite le violazioni dei dati sul web. Quando create un account web su un sito di vendita al dettaglio, ad esempio, spesso fornite l'indirizzo e-mail, il numero di telefono e altre informazioni personali. Quando i criminali informatici si introducono nei registri web di un sito di vendita al dettaglio, questi dati vengono spesso distribuiti o venduti sul dark Web per fare profitti. In questo modo, i vostri dati personali vengono distribuiti all'estero.
Potreste anche aver inserito il vostro numero di telefono tramite un'e-mail di phishing oppure in qualche altro sito illegittimo e la società dietro il sito era in realtà un criminale informatico.
I criminali informatici spesso estorcono alle vittime degli attacchi di smishing ulteriori informazioni personali o addirittura denaro, in alcuni casi. Nelle diffuse truffe del fisco le vittime spesso trasferiscono migliaia di dollari in bonifici a favore dei criminali informatici credendo che, in caso contrario, il fisco intraprenderà delle azioni legali.
Smishing VS. vishing
Smishing e vishing sono tra loro simili come attacchi in quanto richiedono l'utilizzo di un telefono per la loro attuazione, ma la differenza sta nel fatto che nel vishing si usano dei servizi vocali. A volte il vishing può risultare più efficace perché si parla direttamente con una persona dall'altro capo del telefono. Il tono di una conversazione può potenzialmente e drasticamente influire sul risultato. Se credete che non rispondendo vi faranno ancora più domande, allora è molto probabile che fornirete all'aggressore tutte le informazioni che cerca.
Come individuare gli attacchi di smishing
Gli attacchi di smishing sono frequenti e hanno determinate caratteristiche.
- "Complimenti! Hai vinto!" Ecco un tipico messaggio di smishing che fa credere alla vittima di aver vinto un premio in denaro. Al link o al numero di telefono allegato, solitamente, verranno chieste innanzitutto le informazioni personali. Se non avete partecipato a un concorso, è probabile che non avete vinto nulla.
- Testo inviato a un orario strano. Gran parte delle aziende è aperta tra le 8 e le 18, quindi se ricevete messaggi da un'organizzazione "legittima" di notte o molto presto alla mattina, fate attenzione.
- Messaggio urgente dalla banca. È probabile che la banca vi chiami al telefono se ha una richiesta urgente da farvi o ha riscontrato un errore. In questo caso la banca verificherà per procedura le vostre informazioni direttamente al telefono. Se ricevete un messaggio urgente della banca tramite SMS, chiamate prima la banca per conferma.
- Errori di ortografia e grammatica. Le organizzazioni legittime assumono redattori con esperienza. Verificate l'ortografia e la grammatica del messaggio SMS per capire se è una truffa.
- Usate una VPN. Le VPN sono servizi legittimi che vi consentono di mascherare l'indirizzo IP e tenere lontani occhi indiscreti che vogliono carpire la vostra vera ubicazione e attività sul Web, persino al telefono. Ciò può aiutarvi a identificare i messaggi di smishing, in particolare se ne ricevete uno che fa riferimento a una posizione non valida che viene contraffatto dalla vostra VPN. Tuttavia, alcuni criminali informatici hanno persino sfruttato la richiesta di VPN e inviano per SMS offerte "gratuite" o "con sconti" per i servizi con VPN.
Come evitare di cadere vittima dello smishing
- Usate un gestore di password come Keeper per conservare e gestire in sicurezza le password per tutti i vostri account. Abilitate sempre la protezione dell'2FA o dell'AMF per evitare l'accesso non autorizzato.
- Non chiamate mai un numero di telefono associato a un messaggio potenzialmente contraffatto. Se proviene davvero dalla "banca", allora chiamate il numero di telefono della banca salvato in rubrica per conferma.
- Contattate l'azienda direttamente dal suo sito Web ufficiale se avete domande. Fate attenzione ai segnali di truffa sul sito Web.
- Non fate clic su link contenuti in messaggi non richiesti. Se non aspettate un certo messaggio, non fate mai clic su un link strano.
- Segnalate i tentativi di smishing tramite efraudprevention.net, l'Agenzia delle Entrate o la vostra banca.