Smishing – prima di cliccare un Sms bisogna pensare
Smishing significato e definizione
Lo smishing è un attacco di sicurezza informatica di phishing effettuato tramite messaggi di testo mobili, noto anche come SMS phishing.
Come variante del phishing, le vittime vengono indotte a fornire informazioni sensibili a un aggressore travestito. Il phishing SMS può essere assistito da malware o siti Web fraudolenti. Si verifica su molte piattaforme di messaggistica mobile, inclusi canali non SMS come le app di messaggistica mobile basate sui dati.
Cos’è Smishing?
Come suggerisce la definizione di smishing, il termine combina “SMS” (servizi di messaggi brevi, meglio conosciuti come sms) e ” phishing “. Per definire ulteriormente lo smishing, è classificato come un tipo di attacco di ingegneria sociale che si basa sullo sfruttamento della fiducia umana piuttosto che sugli exploit tecnici.
Quando i criminali informatici “phishing”, inviano e-mail fraudolente che cercano di indurre il destinatario a fare clic su un collegamento dannoso. Smishing utilizza semplicemente messaggi di testo anziché e-mail.
In sostanza, questi criminali informatici cercano di rubare i tuoi dati personali, che possono quindi utilizzare per commettere frodi o altri crimini informatici. In genere, questo include il furto di denaro, di solito il tuo, ma a volte anche il denaro della tua azienda.
I criminali informatici spesso utilizzano uno dei due metodi per rubare questi dati:
- Malware: il collegamento URL smishing potrebbe indurti a scaricare malware, software dannoso, che si installa da solo sul telefono. Questo malware SMS potrebbe mascherarsi come un’app legittima, inducendoti con l’inganno a digitare informazioni riservate e a inviare questi dati ai criminali informatici.
- Sito Web dannoso: il collegamento nel messaggio smishing potrebbe portare a un sito fasullo che richiede di digitare informazioni personali sensibili. I criminali informatici utilizzano siti dannosi su misura progettati per imitare quelli affidabili, rendendo più facile rubare le tue informazioni.
I messaggi di testo smishing spesso pretendono di provenire dalla tua banca, chiedendoti informazioni personali o finanziarie come il tuo conto o il numero di bancomat. Fornire le informazioni equivale a consegnare ai ladri le chiavi del tuo conto in banca.
Poiché sempre più persone utilizzano i propri smartphone personali per lavoro (una tendenza chiamata BYOD, o “porta il tuo dispositivo”), lo smishing sta diventando una minaccia per le aziende e per i consumatori. Quindi, non dovrebbe sorprendere che lo smishing sia diventato la forma principale di messaggi di testo dannosi.
La criminalità informatica rivolta ai dispositivi mobili è in aumento, così come l’utilizzo dei dispositivi mobili. A parte il fatto che gli SMS sono l’uso più comune degli smartphone, alcuni altri fattori rendono questa minaccia alla sicurezza particolarmente insidiosa. Per spiegare, scopriamo come funzionano gli attacchi smishing.
Come funziona Smishing?
L’inganno e la frode sono le componenti principali di qualsiasi attacco di phishing via SMS. Poiché l’attaccante assume un’identità di cui potresti fidarti, è più probabile che tu soccomberai alle sue richieste.
I principi di ingegneria sociale consentono agli aggressori smishing di manipolare il processo decisionale di una vittima. I fattori trainanti di questo inganno sono tre:
- Fiducia: presentandosi come individui e organizzazioni legittimi, i criminali informatici riducono lo scetticismo del loro obiettivo. Gli SMS, come canale di comunicazione più personale, abbassano naturalmente anche le difese di una persona contro le minacce.
- Contesto: l’ utilizzo di una situazione che potrebbe essere rilevante per gli obiettivi consente a un attaccante di creare un travestimento efficace. Il messaggio sembra personalizzato, il che aiuta a superare qualsiasi sospetto che possa essere spam.
- Emozione: intensificando le emozioni di un bersaglio, gli aggressori possono ignorare il pensiero critico del bersaglio e spronarlo a un’azione rapida.
Usando questi metodi, gli aggressori scrivono messaggi che indurranno un destinatario ad agire.
In genere, gli aggressori vogliono che il destinatario apra un collegamento URL all’interno del messaggio di testo, dove vengono quindi indirizzati a uno strumento di phishing che richiede loro di divulgare le proprie informazioni private. Questo strumento di phishing si presenta spesso sotto forma di un sito Web o di un’app che si presenta anche sotto falsa identità.
Gli obiettivi vengono selezionati in molti modi, ma di solito si basano sulla loro affiliazione a un’organizzazione oa una località regionale. Possono essere presi di mira dipendenti o clienti di un’istituzione specifica, abbonati alla rete mobile, studenti universitari e persino residenti di una determinata area.
Il travestimento di un aggressore è solitamente correlato all’istituzione a cui desidera accedere. Tuttavia, può essere facilmente qualsiasi maschera che li aiuterà ad acquisire la tua identità o informazioni finanziarie.
Utilizzando un metodo noto come spoofing , un utente malintenzionato può nascondere il suo vero numero di telefono dietro un’esca. Gli aggressori possono anche utilizzare “telefoni bruciatori” – telefoni prepagati usa e getta economici – per mascherare ulteriormente l’origine dell’attacco. È noto che gli aggressori utilizzano i servizi email-to-text come un altro mezzo per nascondere i propri numeri.
Passo dopo passo, un attaccante effettuerà il suo attacco in poche fasi chiave:
- Distribuzione del messaggio di testo “esca” ai bersagli.
- Compromettere le informazioni della vittima tramite l’inganno.
- Esecuzione del furto desiderato utilizzando le informazioni compromesse delle vittime.
Lo schema di smishing di un utente malintenzionato ha successo una volta che ha utilizzato le tue informazioni private per commettere il furto a cui mirava. Questo obiettivo potrebbe includere, ma non è limitato a, rubare direttamente da un conto bancario, commettere frodi sull’identità per aprire illegalmente carte di credito o divulgare dati aziendali privati.
Soluzioni :