Cos'è lo smishing (phishing SMS)?

Come funzionano gli attacchi smishing?

Come avviene in tutte le forme di phishing, gli attacchi di smishing riusciti fanno sostanzialmente due cose: guadagnano la fiducia della vittima e la sfruttano per rubare informazioni private o denaro. Ma come fanno i truffatori?

Innanzitutto, diamo un'occhiata ai vettori di attacco. Lo smishing, chiamato anche SMS phishing, o phishing via SMS, non viene necessariamente effettuato tramite un messaggio SMS (Short Message Service) e nemmeno necessariamente su un dispositivo mobile. Può anche verificarsi nelle app di messaggistica, sui forum o sulle piattaforme di social media, come Facebook, X (Twitter) o Reddit.

I mittenti spesso si presentano come entità che le vittime in qualche modo "conoscono", come istituti finanziari, rivenditori, superiori sul lavoro e agenzie della pubblica amministrazione. Questa familiarità fittizia induce le vittime ad abbassare la guardia, così da non valutare in modo critico ciò che gli aggressori chiedono loro di fare.

I messaggi di smishing efficaci convincono le vittime ad agire con urgenza. Di solito, presentano alla vittima un esito negativo da evitare (chiusura del conto, parcella, provvedimento disciplinare, ecc.), o positivo da riscattare (una ricompensa, consegna, ecc.). In entrambi i casi, il messaggio richiede qualcosa, come informazioni privilegiate o un pagamento. Se lo stratagemma riesce, l'aggressore scappa con il premio.

Di recente, i "kit di phishing" preconfezionati e gli strumenti di AI generativa hanno reso ancora più semplice per gli autori delle minacce lanciare rapidamente attacchi di questo tipo.

Perché gli aggressori usano le truffe di smishing?

Come avviene per le altre truffe di phishing, lo smishing ha prevalentemente un movente finanziario. I criminali informatici possono essere alla ricerca di informazioni finanziarie per rubare direttamente il denaro delle vittime oppure ricercare informazioni da vendere sul mercato nero, come dati personali preziosi o proprietà intellettuale aziendale. Alcune campagne di smishing cercano di indurre le vittime a scaricare malware, ma questo è meno frequente.

Gli attacchi di smishing beneficiano inoltre della mancanza generale di formazione, istruzione e consapevolezza dei potenziali bersagli, soprattutto per quanto riguarda il phishing basato sulla posta elettronica. A ciò si aggiunge il fatto che sono molte di meno le soluzioni di sicurezza progettate per rilevare o bloccare lo spam di smishing. Infine, molti servizi di Voice over IP (VoIP) rendono estremamente facile l'abuso dell'ID di chi chiama per far visualizzare numeri o nomi specifici.

Con lo smishing è inoltre molto più facile raggiungere un ampio numero di potenziali vittime, e questo lo rende estremamente interessante per gli aspiranti hacker. Con oltre 4,6 miliardi di utenti di smartphone nel 2023 e proiezioni che superano i 5 miliardi entro il 2027 (Statista), le potenziali vittime sono effettivamente illimitate.

Tipi di attacchi di phishing

Uno dei motivi per cui lo smishing e altri tipi di attacchi di phishing sono così insidiosi è che esistono molti modi per metterli in atto. Diamo un'occhiata ad alcuni degli approcci e dei framework più comuni impiegati dagli aggressori.

• Le truffe relative a premi e pacchetti sfruttano l'entusiasmo delle vittime che credono di aver vinto qualcosa (una carta regalo, i soldi della lotteria, ecc.) o per un articolo in attesa di essere consegnato. Gli aggressori spesso si spacciano per un'importante azienda di vendita al dettaglio o di consegna di pacchi, come Amazon, Costco, FedEx o UPS, e richiedono la correzione dell'indirizzo, i dati della carta di credito, una commissione per la spedizione o simili. In genere, indirizzano le vittime a un collegamento dannoso progettato per rubare tali informazioni.
• Le truffe bancarie e finanziarie sfruttano la suscettibilità rispetto ai temi finanziari per provocare reazioni impetuose e rapide. Gli aggressori si fingeranno una società bancaria (o, per amplificare l'elemento di paura, un'organizzazione come l'Agenzia delle Entrate) e informeranno la vittima di un problema relativo al conto bancario, di un rimborso in attesa, di un pagamento scaduto, di un'indagine o qualcosa di simile come pretesto per rubare credenziali di accesso, numeri di previdenza sociale, numeri di carta di credito o altre informazioni.
• Le truffe sugli investimenti manipolano le vittime spingendole a investire in criptovaluta, spesso promettendo rendimenti elevati. Le vittime sono indotte a creare account su piattaforme di criptovalute o di trading finanziario fittizie, e spesso offrono rendimenti iniziali per favorire un falso senso di legittimità. Dopo aver ottenuto l'accesso non autorizzato al conto della vittima, l'aggressore inizia a eseguire transazioni fraudolente, svuotando completamente il conto.
• Le truffe relative alla verifica degli account e delle password inducono le vittime a compromettere i propri account, spesso facendo loro credere che siano già stati compromessi. Questo modello può essere accompagnato dallo spoofing degli URL, in modo da creare portali di accesso falsi che risultino convincenti. In alcuni attacchi complessi che hanno l'obiettivo di rubare gli account, gli hacker possono richiedere alle vittime di rispondere a domande di sicurezza o codici di autenticazione a più fattori (MFA) per essere in grado di aggirare ulteriori misure di sicurezza informatica.
• Le truffe opportunistiche e tematiche sfruttano le paure, le speranze o il senso di responsabilità sociale delle vittime riguardo agli eventi o alle circostanze esistenti in un dato momento per defraudarle di denaro e/o rubare i loro dati personali. Alcuni esempi che si sono verificati degli ultimi anni includono la frode sugli appuntamenti per il vaccino contro il COVID-19, falsi enti di beneficenza legati a guerre e disastri naturali, truffe economiche relative a prestiti studenteschi, tasse, pagamenti di sussidi, opportunità di lavoro e molto altro.

Esempi di truffe di smishing

Diamo ora un'occhiata ad alcuni esempi di tentativi di smishing reali e ad alcuni campanelli di allarme che possono aiutarti a identificare questi attacchi.

Esempio 1: smishing relativo a un pacchetto USPS

Questo messaggio è pieno di campanelli di allarme che ne facilitano l'identificazione. Da notare la mancanza di dettagli specifici, come il nome o la posizione del "magazzino", la spaziatura strana e la strana stringa "7cng.vip" nell'URL fornito. 

Inoltre, secondo il Servizio di ispezione postale degli Stati Uniti, "USPS non invia ai clienti messaggi di testo o e-mail senza che il cliente abbia prima richiesto tale servizio con un numero di tracciamento, e l'eventuale messaggio NON contiene link".

Esempio 2: smishing relativo a un sondaggio di Costco

Il testo di questo messaggio di smishing lo rende un po' più difficile da identificare, ma presenta comunque numerosi segnali rivelatori. Innanzitutto, Costco Wholesale Corporation non si riferisce a sé usando "CostcoUSA". Come nel falso messaggio di USPS, anche qui la formulazione è un po' artificiosa. Il segno più significativo che si tratta di smishing è l'URL, in quanto le comunicazioni legittime di Costco provengono sempre da un dominio Costco.

Gli smisher possono essere estremamente ingegnosi, ma se sai cosa cercare, spesso ci sono modi evidenti e meno evidenti per individuare i loro tentativi di truffa.

Come difendersi dagli attacchi di smishing

È difficile evitare del tutto lo smishing, ma fortunatamente ci sono molti modi efficaci per difendersi prima che possa causare danni:

• Ignorare il tentativo di attacco: se ricevi un messaggio di smishing, puoi non fare nulla. Una volta stabilito che un messaggio che hai ricevuto non è legittimo, puoi semplicemente eliminarlo senza ulteriori conseguenze. Lo smishing non funziona se la vittima non abbocca.
• Pensare in modo critico: uno dei modi migliori per identificare un tentativo di smishing è semplicemente quello di fermarsi e pensare, esattamente ciò che gli aggressori contano che le vittime non facciano. Se ricevi un messaggio di testo sospetto, fermati un istante e considera le circostanze. Aspettavi notizie da quel presunto mittente? Il mittente si è identificato chiaramente? La richiesta è potenzialmente legittima?
• Cercare campanelli di allarme: analizza i dettagli. Il messaggio proviene da un numero di telefono stranamente simile al tuo? Se è così, questo potrebbe indicare un tentativo di "neighbor spoofing", ossia l'imitazione dei numeri della tua zona o di conoscenti. Contiene indirizzi e-mail o link? Assicurati che corrispondano alle informazioni di contatto reali o ai canali ufficiali che ti aspetti dal mittente. Ci sono dettagli vaghi o errori? La maggior parte dei messaggi aziendali legittimi viene controllata attentamente per individuare eventuali errori.
• Verificare prima di agire: se non hai ancora la certezza che un messaggio sia legittimo o meno, puoi verificarlo contattando separatamente il mittente tramite un canale ufficiale. Ad esempio, puoi cercare il numero del servizio clienti o chattare con un rappresentante sul sito web della tua banca.
• Bloccare e/o segnalare il tentativo di smishing: puoi ridurre il tuo rischio e la probabilità che altri cadano vittime dello smishing bloccando e segnalando i tentativi di attacco. La maggior parte delle app di messaggistica private e i sistemi operativi Apple iOS e Android dispongono di funzioni di blocco e segnalazione integrate che aiutano a segnalare i messaggi sospetti quando altri utenti li riceveranno.

Cosa fare se subisci un attacco di smishing

Se ti rendi conto o sospetti di aver subito un attacco di smishing, ci sono comunque delle misure che puoi intraprendere per limitarne i danni.

1. Segnala l'attacco alle autorità competenti. La maggior parte delle banche dispone di solidi sistemi di gestione delle frodi e potrebbe persino essere in grado di aiutarti a recuperare i fondi persi. In caso di frode o furto d'identità più grave, potresti prendere in considerazione la possibilità di sporgere denuncia alla polizia postale o contattare un ente governativo come l'Antitrust.
2. Aggiorna le credenziali compromesse. Se un utente malintenzionato dispone dei dettagli del tuo account, non puoi sapere quando li utilizzerà. Modifica immediatamente le password, i PIN e credenziali simili. Se ricevi un'e-mail legittima che conferma una modifica della password che non hai richiesto, contatta subito il mittente.
3. Tieni d'occhio le attività dannose. Una volta fatto quanto sopra, rimani in guardia per individuare ulteriori segnali di compromissione. Puoi richiedere di aggiungere avvisi di frode su molti account per identificare le attività sospette.

Protezione dagli attacchi di smishing con Zscaler

Dato che per avere successo lo smishing si basa sullo sfruttamento della natura umana, la compromissione degli utenti rappresenta una delle sfide di sicurezza più difficili da superare. Per rilevare le violazioni attive e ridurre al minimo i danni generati da quelle riuscite, è necessario implementare controlli efficaci di prevenzione nell'ambito di una strategia zero trust più ampia.

La piattaforma Zscaler Zero Trust Exchange™ è costruita su un'architettura olistica zero trust che riduce al minimo la superficie di attacco, previene compromissioni, elimina il movimento laterale e blocca la perdita dei dati, oltre a proteggere da attacchi di smishing e altre minacce informatiche, attraverso:

• La prevenzione della compromissione: le funzionalità come l'ispezione TLS/SSL completa, l'isolamento del browser, il filtraggio degli URL e il rilevamento dei siti di phishing (inclusi i link negli SMS e sui dispositivi mobili), il controllo degli accessi basato su policy e l'intelligence sulle minacce in tempo reale proteggono gli utenti dai siti web dannosi.
• L'eliminazione del movimento laterale: una volta entrati sulla tua rete, gli aggressori possono diffondersi, causando ancora più danni. Con Zero Trust Exchange, gli utenti si connettono direttamente alle app, non alla rete, limitando così il raggio di azione di un attacco. Le esche di deception aiutano a ingannare gli aggressori e a rilevare il movimento laterale. 
• Il blocco delle minacce interne: la nostra architettura proxy sul cloud blocca i tentativi di exploit delle app private con un'ispezione completa inline e rileva anche le tecniche di attacco più sofisticate, grazie all'impiego di tattiche di deception avanzate.
• Il blocco della perdita di dati: Zero Trust Exchange ispeziona i dati in movimento e quelli inattivi per prevenire potenziali furti di dati da parte di utenti malintenzionati attivi.