Lo Smishing sta all’SMS come il Phishing sta alle email
Lo Smishing è definibile come un genere di truffa telematica che ha l’obiettivo di rubare informazioni e dati personali sensibili.
A differenza del phishing in cui la truffa informatica avviene tramite email, nello smishing la truffa è nell’SMS.
Il Phishing via e-mail include un link o allegato che, una volta cliccato, porta qualcuno a compilare informazioni riservate in un modulo o installare un malware che ruba i dati dal dispositivo.
Lo stesso accade via SMS, ma la truffa risulta più fine perchè solitamente il mittente dell’SMS fraudolento è quello di un istituto di credito.
Un esempio? Lo smishing con mittente Poste Italiane
Arriva un messaggio dall’istituto finanziario del destinatario che richiede di cliccare su un link che andrà su un sito web per risolvere un problema con il conto o la carta di pagamento. Se si fa click, viene installato un malware e vengono rubati l’indirizzo e-mail, le informazioni della lista dei contatti e altri dati.
Una delle campagne di smishing più massicce che hanno interessato il nostro Paese è stata segnalata dal CERT di Poste Italiane.
Gli SMS apparentemente inviati da Poste Italiane invitano ad effettuare una ricarica telefonica on-line per ricevere del credito telefonico in omaggio. Il testo del messaggio è scritto in italiano corretto:
Poste Italiane ti regala 100 euro di credito + 10GB Internet se effettui una ricarica di almeno 20 euro sul sito: [URL di sito contraffatto] offerta valida 24 ore
Ma come per la maggior parte degli attacchi informatici, via email o via SMS, non è possibile replicare in tutto e per tutto l’identità del mittente. Il primo campanello d’allarme è contenuto nell’URL del sito al quale il link rimanda, non sarà possibile per gli hacker utilizzare il dominio dell’istitituto in questo caso di Poste Italiane.
All’articolo di Repubblica troverete maggiori informazioni sul caso Poste Italiane.
Come difendersi dallo Smishing?
Come primo passo, è importante osservare che i messaggi malevoli provengono di solito da numeri di telefono in un formato strano o inaspettato ed evitare di richiamare o rispondere subito.
Qualora per sbaglio si dovesse effettuare la telefonata al numero indicato, sarà importante non fornire alcuna informazione al sistema vocale automatico e men che meno i dettagli dei nostri account di accesso all’home banking. Ricordatevi che nessuna banca ci chiederà mai simili informazioni per telefono.
La situazione è più complicata quando, il contesto in cui il soggetto viene attaccato è un contesto aziendale. Questo perchè in contesto lavorativo si è più propensi a richiamare numeri sconosciuti o a rispondere anche a numeri non memorizzati.
In via generale, per difendersi dagli attacchi informatici è utile seguire alcuni semplici consigli:
- Non installare app che provengono da mittenti sconosciuti (sia via SMS che email).
- Fare attenzione a ciò su cui si fa click e sopratutto verificare che il link corrisponda o quello del soggetto indicato come mittente.
- Attivare sul proprio dispositivo mobile la funzione che blocca i testi provenienti da Internet.
- Utilizzare un software di sicurezza per i dispositivi mobile.
- Se l’attacco viene fatto verso un’azienda, è importante che i dipendenti abbiano una giusta ed adeguata formazione al fine di tutelare il business aziendale.
Cosa Cerbeyra può fare per te?
Cerbeyra è una piattaforma web di cyber security, in grado di effettuare scansioni di sicurezza automatizzati sulla tua applicazione web e sulla tua rete aziendale.
Le scansioni vengono fatte allo scopo di ricercare possibili vulnerabilità presenti sulla rete aziendale e/o dominio aziendale e di formulare un report in cui le vulnerabilità rilevate vengono elencate e classificate secondo il loro grado di rischio.
Per saperne di più sui servizi di Cerbeyra clicca su: Network Vulnerability Scan e Web application vulnerability Scan