Sommario
Threats

Che cos'è lo Smishing?

Sommario

Combinazione di SMS (Short Messaging Service) e phishing, lo smishing si riferisce ai messaggi di testo inviati dagli aggressori per ottenere informazioni personali e sensibili. Come lo spear phishing, gli attacchi di smishing si basano sull'inganno degli utenti che fanno clic su un link per fornire informazioni sensibili, come credenziali di login che possono essere utilizzate per accedere ai sistemi di destinazione o addirittura per depositare malware.

Apprenda i nostri 10 requisiti per la protezione degli endpoint.

Questo metodo di attacco è diventato recentemente più popolare grazie alla facilità di raccolta dei numeri di telefono, alla prevalenza degli smartphone e alla fiducia che si deduce da un messaggio di testo rispetto a un'e-mail tradizionale. Mentre le e-mail possono contenere qualsiasi numero di lettere o caratteri speciali, i numeri di telefono in tutto il mondo seguono schemi specifici, come quello a tre-quattro-tre cifre negli Stati Uniti, e gli aggressori possono provare diverse combinazioni o inviare raffiche a una gamma specifica. Inoltre, i numeri di telefono sono spesso associati ai social media, il che li rende più facili da trovare e fornisce agli aggressori un archivio di informazioni per rendere i tentativi di smishing più personalizzati.

I truffatori hanno successo anche grazie alla relazione tra un utente e il suo telefono. Se sono in viaggio o distratti da qualcos'altro, gli utenti sono più propensi a fidarsi dei loro smartphone o a sfogliare un messaggio piuttosto che leggerlo attentamente. Per proteggersi al meglio dallo smishing - e dalle truffe di phishing in generale - è importante che gli utenti controllino i numeri di telefono, leggano attentamente i messaggi e non clicchino mai su un link sconosciuto.

Per saperne di più sul phishing

 

Come riconoscere un tentativo di smishing

Purtroppo non mancano gli attacchi di phishing su qualsiasi dispositivo. Che i criminali informatici siano alla ricerca di carte di credito, credenziali di accesso o altre informazioni sensibili, i tentativi di phishing via SMS sono minacce a cui gli utenti mobili devono essere preparati.

Un attacco smishing comune riguarda i servizi bancari. Fingendosi un'istituzione finanziaria legittima, questi messaggi di testo possono apparire tempestivi per incoraggiare le vittime ad accedere senza pensare in modo critico.

Esempio di messaggio di testo che avvisa la vittima
Figura 1: Esempio di messaggio di testo che avvisa la vittima della compromissione dell'account e la incoraggia ad accedere con il link fornito.

Il modo migliore per reagire a questo tipo di messaggi è quello di bypassare il link e andare direttamente alla banca stessa. Vada sul sito web della banca, acceda alla sua app o chiami una filiale locale per verificare se ci sono problemi con un conto bancario.

Un altro esempio di attacchi di smishing sfrutta l'autenticazione a più fattori (MFA). Gli aggressori invieranno messaggi di testo con le credenziali agli utenti, incoraggiandoli ad accedere. Gli hacker costruiscono queste pagine per assomigliare ai siti di credenziali autentiche che gli utenti conoscono bene.

Esempio di messaggio di testo che incoraggia la vittima
Figura 2: Esempio di messaggio di testo che incoraggia la vittima ad accedere al link fornito per verificare la propria identità.

Con attacchi come questi, gli utenti devono riflettere attentamente. Hanno effettuato l'accesso a qualcosa di recente? È questo il modo normale per verificare la propria identità? Come per gli istituti bancari, è meglio andare direttamente alla fonte e verificare. È importante notare che, sebbene alcuni aggressori stiano approfittando dell'MFA, la sicurezza aggiuntiva dell'MFA è ancora una difesa incredibilmente importante contro il crimine informatico.

La Figura 3 è un esempio realistico basato su un messaggio di smishing ricevuto da uno dei nostri dipendenti.

Schermata di un tentativo di smishing
Figura 3: Schermata di un tentativo di smishing con evidenziato lo strano numero e il link errato

 

Come evitare di essere smascherato

Come accennato in precedenza, una delle migliori tecniche per evitare di essere smascherati è essere critici con i messaggi di testo che si ricevono. Non clicchi mai su un link che non le è familiare e non si senta obbligato a rispondere a uno strano messaggio da un numero che non riconosce. Se riceve un messaggio di smishing negli Stati Uniti, può segnalarlo a reportfraud.ftc.gov.

Per i professionisti della sicurezza, è importante implementare l'educazione degli utenti. Formare e testare la sua azienda su come identificare il phishing e lo smishing ridurrà notevolmente la probabilità di successo di un tentativo di phishing.

Facendo un ulteriore passo avanti, un altro pezzo importante di questo puzzle è l'adozione a livello di organizzazione di una posizione di Zero Trust . È importante monitorare il suo ambiente con la consapevolezza che non ci si deve fidare implicitamente di nulla: qualsiasi cosa nella sua rete può essere usata contro di lei. Prodotti come endpoint detection and response (EDR) forniscono un'ampia visibilità e un rilevamento basato sul machine learning (ML)per l'analisi delle minacce in tempo reale. Un prodotto EDR può essere abbinato ad una piattaforma di security orchestration, automation, and response (SOAR) per una risposta alle minacce basata sull'automazione.

Per saperne di più su come la sicurezza degli endpoint e della rete lavorano insieme.

Si iscriva a una dimostrazione di Cortex per vedere come XDR e XSOAR possono migliorare la sua posizione di sicurezza.

Contenuti correlati

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce