Siamo sempre più consapevoli del problema del phishing, ma cosa sappiamo dello smishing? Spesso un passo avanti a noi, gli hacker danno sfogo alla loro fantasia!
Siamo consapevoli del rischio di scaricare app dannose, ma siamo sufficientemente informati sui rischi legati allo smishing? Dopo decennidi invio di e-mail fraudolente (spam, truffe, frodi del presidente...), gli hacker si stanno orientando anche verso le frodi via SMS. E a ragione! Molti utenti, pur essendo consapevoli dei rischi legati al phishing, sono tuttavia poco vigili quando si tratta di controllare i propri SMS.
Lo smishing in cifre
Il tasso di lettura degli SMS si aggira intorno al 95%. (Médiamétrie)
L'SMS diventa quindi – insieme all'e-mail – uno dei canali di comunicazione preferiti dagli hacker per «phishare» gli utenti e/o introdurre i propri malware (trojan, virus...) in un sistema informatico.
LookOut, azienda specializzata nella sicurezza mobile, riferisce che nel 2020 gli attacchi di phishing via SMS sono aumentati del 37%. Inoltre, a seconda del numero di dispositivi mobili coinvolti, questo tipo di attacco può costare fino a 150 milioni di dollari.(fonte: globalsecurity mag).
Che cos'è lo smishing?
Lo smishing, termine che deriva dalla fusione di SMS e phishing, consiste nell'inviare a un telefono cellulare un messaggio che richiede di compiere un'azione, come ad esempio fornire dati riservati (dati personali, informazioni finanziarie, numeri di conto, codici segreti...), richiamare un numero con urgenza, cliccare su un link, un allegato o un'immagine fraudolenta e/o essere reindirizzati a un sito web dannoso.
I truffatori utilizzano le stesse tattiche e le stesse caratteristiche delle e-mail di phishing per ingannare gli utenti e indurli ad agire:
- Rivolgersi a enti o amministrazioni di fiducia (banche, uffici delle imposte, enti di pubblica utilità, fornitori di servizi…)
- la manipolazione psicologica: urgenza, entusiasmo, curiosità, paura, fiducia, ansia, empatia…
Proprio come nel caso degli attacchi di phishing, le conseguenze possono rivelarsi disastrose: furto di dati, furto d’identità, spionaggio, sottrazione di password, codici e coordinate bancarie.
Come proteggersi da un SMS fraudolento?
- Prestare attenzione quando il numero di telefono sembra sospetto.
- Effettuare ricerche su Internet per verificare se si tratta di un numero legittimo o di uno smishing.
- Chiamare solo numeri validi e ufficiali.
- Non rispondere a un SMS che sembri urgente, che richieda un codice, un nome utente o una modifica della password…
- Evitare di cliccare su link, allegati o immagini ricevuti tramite SMS. Se si tratta di una persona conosciuta (un collega, un superiore, un amico…) che invia un file o un link inaspettato : verificare sempre contattando direttamente il mittente in questione.
- Evita di scaricare o installare app da un link inviato tramite SMS.
- Non trasmettere mai informazioni, dati riservati, personali o professionali.
- Non inoltrare SMS (catene di Sant'Antonio, petizioni, notizie false).
- In caso di dubbio, non premere mai.
Lo sappiamo bene. Ad oggi, l’essere umano rimane l’anello debole della sicurezza informatica. Tanto più che i canali di attacco informatico, vere e proprie «opportunità» per i criminali informatici, si stanno moltiplicando. E infatti, le forme di frode si sviluppano e si evolvono di pari passo con i progressi tecnologici: phishing, smishing ma anche vishing (phishing vocale via telefono) sono quindi altrettante minacce alle quali le organizzazioni rischiano di trovarsi, un giorno, confrontate e contro le quali devono tenersi pronte.
È quindi urgente che le risorse umane diventino una risorsa fondamentale per ogni organizzazione. Circondarsi di collaboratori consapevoli e attenti, sensibili alla sicurezza informatica e formati per saper sventare le trappole del phishing, indipendentemente dal mezzo utilizzato (e-mail, SMS o telefono), è la chiave per la resilienza informatica di ogni organizzazione.
