Prodotti e Servizi PRODOTTI & SERVIZI

Smishing: truffe via SMS in forte crescita

I consigli degli esperti Sophos per non cadere nel tranello

Gli SMS sono sempre stati considerati lo strumento più sicuro per comunicare. Banche, poste e persino compagnie aeree utilizzano messaggi telefonici per inviare comunicazioni utili ai propri clienti. Negli ultimi anni però i criminali informatici hanno iniziato ad utilizzare proprio gli SMS come strumento per impossessarsi di dati sensibili e informazioni personali, dando vita al fenomeno denominato smishing.

Cos’è lo smishing?

La parola smishing deriva dall’unione di “SMS” e “phishing”: se nel phishing i truffatori inviano e-mail fraudolente per indurre gli utenti ad aprire un allegato contenente malware o a cliccare un link dannoso con l’obiettivo di impossessarsi di informazioni sensibili, come ad esempio password o dettagli bancari, nello smishing le modalità restano invariate ma ciò avviene via SMS.

Come funziona un attacco smishing?

I criminali informatici inviano alle potenziali vittime un SMS che sembra provenire da un destinatario legittimo come una banca, un ente pubblico o una delle app abitualmente utilizzate dall’utente. L’obiettivo di questi attacchi è quello di rubare informazioni personali o sottrarre denaro convincendo il destinatario dell’SMS ad accedere a un falso link e inserire, ad esempio, i dati della carta di credito o le credenziali di accesso a sistemi di pagamento online.

Ciò che rende questo tipo di cyber-attacco così pericoloso è la mancanza di consapevolezza e di prevenzione da parte degli utenti. Gli attacchi di phishing o di spam sono ormai molto comuni mentre gli SMS continuano ad essere considerati dagli utenti come uno strumento sicuro poiché vengono solitamente utilizzati per comunicazioni personali, notifiche bancarie o codici monouso per convalidare operazioni o accessi. È proprio per questo motivo che i criminali informatici li utilizzano come vettore per i loro attacchi.

“I cybercriminali usano gli SMS perché sono economici, possono essere programmati per l’invio in massa e i numeri di telefono sono facili da ottenere. Inoltre, il loro punto di forza rispetto alle e-mail fraudolente è l’ormai ridotto utilizzo da parte degli utenti. Si può pensare che con il tempo i cybercriminali siano stati in grado di accedere a gateway SMS compromessi per inviare i messaggi gratuitamente” spiega Marco D’Elia, Country Manager, Sophos Italia.

Per proteggersi da questo tipo di truffa vanno adottati alcuni accorgimenti, come suggerito dagli esperti di sicurezza di Sophos:

  1. Non fidarsi del mittente. Il mittente di un SMS può essere modificato per inserire ciò che i criminali informatici vogliono. È ancora molto difficile bloccare tutti i messaggi fraudolenti, quindi qualora non si sia assolutamente certi della fonte, meglio diffidare.
  2. Se viene espressamente chiesto di fare qualcosa, insospettirsi. Qualsiasi SMS che chieda di eseguire una particolare azione deve essere considerato sospetto. Se i messaggi di notifica sono innocui (“il tuo pacco è stato inviato”), meno rassicurante è un messaggio che inviti a compiere un’azione facendo leva sui timori dell’utente, come ad esempio il rischio che il proprio ordine venga cancellato o il proprio conto online chiuso.
  3. L’urgenza è un segnale di pericolo. Una tecnica molto comune, oltre a spacciarsi per fornitori di servizi autorevoli e credibili (posta, banca, ecc.), è l’urgenza. Negli attacchi di smishing le vittime vengono esortate ad agire immediatamente, riducendo al minimo il tempo per riflettere o per effettuare le opportune verifiche.
  4. Proteggere il proprio cellulare. Avere un sistema di protezione efficace installato sul proprio smartphone permette agli utenti di avvalersi di un ulteriore livello di sicurezza per bloccare questo tipo di attacchi. Le soluzioni di protezione gratuite, tra cui ad esempio Sophos Intercept X per mobile, forniscono protezione anti-malware, controllo della navigazione per bloccare l’accesso a siti web non sicuri i e il controllo degli SMS fraudolenti.
  5. Informarsi. Oltre a utilizzare strumenti che facilitino l’individuazione di attacchi dannosi, è fondamentale rimanere costantemente aggiornati per sapere quando e dove vengono colpiti maggiormente gli utenti.