Il phishing, è noto, consiste in una truffa online in cui si cerca di ottenere da parte del destinatario di una finta comunicazione (ad es. tramite e-mail, popup o PEC) proveniente all’apparenza da un ente affidabile informazioni di carattere personale o aziendale, come le credenziali di accesso o i dati finanziari. L’attività ingannevole consente così al cybercriminale di “pescare”, spesso all’insaputa della vittima, informazioni e password, o anche di infettare i dispositivi attraverso allegati malevoli. Lo smishing consiste in un’analoga attività svolta però con il tramite dei messaggi di testo (SMS + phishing = smishing). Per quale motivo ora vengono utilizzati gli SMS come veicolo per questo tipo di attacchi?
Pregiudizio: gli utenti hanno l’erronea convinzione che gli smartphone siano generalmente sicuri, e comunque meno vulnerabili di un computer. Un ulteriore motivo è che spesso chi fa uso dello smartphone svolge in contemporanea anche altre attività (ad esempio camminare), o comunque destina a tale strumento una soglia di attenzione più bassa. Ciò significa dunque che l’utente è, sia meno consapevole dei rischi, che meno attento alle contromisure da impiegare. Questi elementi costituiscono degli indubbi vantaggi per l’azione di un cybercriminale.
Inoltre, dal momento che spesso sono installate sugli smartphone (per politiche BYOD, o per prassi) anche applicazioni per la lettura delle e-mail, l’archiviazione in cloud o l’accesso ad un software gestionale che possono ricondurre ai dati o ai sistemi di un’azienda o di uno studio professionale, l’appetibilità di tali dispositivi è decisamente elevata.
Come riconoscere questi tentativi di frode? Vediamo di profilare gli elementi comuni dello smishing.
La leva che viene impiegata dai truffatori è spesso di tipo emotivo, dal momento che induce ad abbandonare alcune cautele basilari giocando su bisogni (offerta o partecipazione a un contest), fiducia (mittente attendibile), esigenze di protezione (migliorare la sicurezza dell’account), paure (evitare addebiti) e desideri (facili guadagni). Spesso, gli elementi di allerta sono rilevabili nei contenuti della comunicazione, la quale ad esempio richiede un intervento per evitare un qualche tipo di problema o altrimenti per aderire ad un’offerta dell’ultimo minuto. L’obiettivo è sempre fare in modo che la potenziale vittima visiti un sito web, risponda al messaggio o altrimenti chiami un numero.
Ecco tre semplici consigli sui comportamenti da adottare per migliorare la propria sicurezza:
- in via generale, non cliccare sui link all’interno degli SMS;
- ragionare prima di agire, chiedendosi ad esempio se il mittente avrebbe inviato il tipo di SMS ricevuto, o se il contenuto della comunicazione è veritiero, anche svolgendo dei controlli ulteriori;
- in caso di dubbi, tentare di contattare il mittente tramite i numeri in proprio possesso per avere conferma della comunicazione.
In ogni caso, tutte le cautele adottate non devono assolutamente essere abbandonate o ridotte nel caso in cui il messaggio provenga apparentemente da un mittente noto e di fiducia, dal momento che è possibile che il numero sia stato manipolato o violato. Allo stesso modo, anche gli inviti condotti tramite SMS per scaricare app comuni e legittime, devono essere guardati con particolare prudenza, dal momento che possono mascherare dei malware autoinstallanti sul proprio smartphone.
È bene ricordare che l’obiettivo del truffatore è ottenere dati personali delle vittime o a cui le vittime hanno accesso (ad esempio: società, clienti, altri contatti) per compiere furti di identità, rubare denaro o preparare ulteriori attacchi massivi.
