Nell’era dello smart working, gli hacker hanno trovato un nuovo modo per attaccare chi lavora da casa ma anche moltissimi utenti che usano spesso lo smartphone. Si chiama “Smishing” e sfrutta gli SMS per farvi scaricare malware o rubare le vostre informazioni personali. Un fenomeno sempre più in crescita. E pericoloso.
Cos’è lo smishing, tattica sempre più usata dagli hacker
Forse avete già sentito il termine “phishing”, termine inglese che suona come il verbo “pescare”: ma all’amo degli hacker ci abbocchiamo noi. Solitamente, i cybercriminali inviano una email che contiene un link oppure un allegato da scaricare. Il risultato è lo stesso: sfruttando la vostra fiducia, scarica malware sul vostro PC oppure vi sottrare informazioni personali, per poi accedere ai vostri account (magari anche a quello bancario).
La parola “smishing” fonde phishing con SMS. Il meccanismo è lo stesso: alla base della truffa c’è la vostra fiducia. Quindi potete ricevere un SMS che sembra provenire dal Ministero dell’Entrate, che vi invita a cliccare per su un link per compilare in automatico il 730. Quando invece è un sito creato ad hoc per sottrarvi informazioni finanziarie. Oppure finge di essere la vostra compagnia di fornitura elettrica e vi invita a scaricare la bolletta con un click.
Nella stragrande maggioranza dei casi fingono di essere banche, anche se gli operatori di telefonia e i marketplace online (come Amazon) sono altrettanto sfruttati dagli hacker. Utilizzano nomi di brand veri per farci abbassare la guardia e truffarci.
Questi sono solo degli esempi per spiegare il meccanismo. A volte gli hacker sono ancora più cinici. in quest’ultimo periodo, per esempio, hanno spesso utilizzato la pandemia e la vaccinazione generale per portare avanti la propria truffa. Magari dicendovi di cliccare un link per ottenere il Green Pass, mentre invece state scaricando un malware che registra ogni vostro movimento sullo smartphone.
A volte l’hacker chiede di cliccare un link, altre semplicemente di rispondere a una domanda. In questo semplicemente comunicate ai cybercriminali che quel numero di telefono è attivo. In questo modo sanno che il numero è usato da qualche utente, che si è fidato del primo SMS. Ora possono iniziare l’attacco vero e proprio.
Un tipo di attacco in crescita esponenziale
Analizzando il fenomeno dello smishing, l’FBI nel 2020 ha rilevato che solo nel 2020 questo tipo di attacco è costata agli americani 50 milioni di dollari. Poco rispetto ai 3,5 miliardi di dollari che ogni anno negli Stati Uniti si perdono in phishing. Ma il numero è in costante aumento. Secondo quando riporta Proofpoint, negli ultimi dodici mesi gli attacchi sono cresciuti del 300%. E se il numero negli USA triplica, negli UK aumenta di sette volte.
E in Italia? Nei primi quattro mesi del 2021 la Polizia Postale riporta truffe per 500 mila euro.
Il rischio per questo tipo di attacchi diventa particolarmente elevato a livello business. Perché sempre di più lo smartphone diventa un dispositivo essenziale per lavorare. Se bloccare le email di phishing sul PC aziendale resta una priorità dei team IT, la sicurezza su mobile spesso non è altrettanto ferrea. Non ci sono modi sicuri per verificare l’autenticità di un URL inviata via messaggio, rendendo più complicato stare sicuri.
Smishing: la cura migliore è l’attenzione
Come succede spesso nel mondo della sicurezza informatica, il consiglio migliore che danno le aziende di cybersecurity è stare più attenti. Sebbene capiti spesso di ricevere messaggi da banche e operatori mobili, quasi mai succede “nel vuoto”. Se state accedendo al conto bancario e vi arriva un SMS con un link per reimpostare la password, probabilmente è legittimo. Se invece senza motivo vi arriva un link da seguire per “controllare un tentato accesso” oppure vi chiedono informazioni personali per qualsiasi ragione, c’è il rischio che si tratti di smishing.
Per le aziende, la soluzione migliore è quella di aumentare la consapevolezza dei dipendenti. Investire in formazione sulla sicurezza informatica può essere la chiave per risolvere o mitigare gran parte dei problemi di cybersecurity, smishing compreso. Riconoscere messaggi sospetti può essere semplice per chi è più esperto. Piuttosto meglio togliersi il dubbio e chiamare la propria banca per sapere se l’SMS è legittimo o meno. Ma senza l’adeguata formazione non si può chiedere di “stare attenti” ai propri dipendenti e collaboratori.
E anche solo una campagna di sensibilizzazione può fare la differenza. Leggendo questo articolo non siete affatto esperti di smishing. Ma starete più attenti quando ricevete un messaggio generato in automatico. Se sembra strano probabilmente è sospetto. Prestate la stessa attenzione agli SMS che riservate alle email. E se non siete sicuri, siate prudenti.
- Proteggere più dispositivi, tra cui PC, Mac, smartphone e tablet, contro malware, phishing e ransomware (fino a 5...
- Accedere alle app e ai siti Web preferiti con la connessione Wi-Fi, a casa o in viaggio, con la sicurezza della...
- Generare, memorizzare e gestire password, informazioni su carte di credito e altre credenziali online – in modo sicuro...
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🚪 La pericolosa backdoor di Linux, disastro sventato da un solo ricercatore
🎶Streaming Farms: il lato oscuro della musica, tra ascolti falsi e stream pompati
✈️Abbiamo provato DJI Avata 2: sempre più divertente!
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
