Smishing: phishing tramite messaggi di testo

Poiché siamo costantemente online sul web, ci sono diversi pericoli su Internet che devono essere trattati. Il TCS desidera svolgere un ruolo attivo nella lotta contro questi pericoli e rischi ed è quindi diventato membro della SISA Swiss Internet Security Alliance.

Tramite SMS, WhatsApp o altri servizi di messaggistica, gli utenti ricevono continuamente messaggi in cui si invita a fare clic su qualche link. Si tratta del cosiddetto «smishing», una parola creata ad hoc composta da «SMS» (messaggi brevi) e phishing (furto dei dati di accesso attraverso messaggi ingannevoli). Molti conoscono gli attacchi di phishing attraverso le e-mail, ma non sono consapevoli di poter correre lo stesso rischio anche con lo smartphone.

Gli attacchi di smishing mirano a sottrarre i dati personali e utilizzarli poi per scopi fraudolenti. Analogamente al phishing, il furto dei dati avviene spesso con l’aiuto di messaggi falsificati. L’unica differenza è che l’attacco informatico non avviene tramite e-mail, ma via SMS o servizi di messaggistica come WhatsApp. L’aspetto più subdolo in tutto questo è che gli attacchi di smishing sono talmente ben architettati che possono colpire chiunque.

Molti utenti ormai conoscono il phishing e controllano la loro posta in arrivo con una sana diffidenza. Inoltre, i filtri antispam dei fornitori di servizi di posta elettronica sono efficaci nell’impedire i tentativi di phishing. Molti smartphone, però, sono sprovvisti di questo meccanismo automatico di protezione. Spesso, i mittenti di SMS o messaggi di testo sono considerati affidabili dai destinatari e di conseguenza le loro comunicazioni vengono aperte senza alcun timore.

A questo si aggiunge il fatto che sul telefonino ogni cosa è visualizzata un po’ più in piccolo e più velocemente, quando si è per strada, ad esempio, ci si distrae spesso e si reagisce più facilmente a un messaggio. Si creano così le condizioni ideali per l’azione di uno smisher che può causare ad esempio:

• la rivelazione di informazioni personali riconducibili ad account online (identità, ID Apple, dati finanziari, eccetera).
• la selezione di un link che carica un malware sul dispositivo.
• la sottoscrizione di un abbonamento.

Il meccanismo è molto simile a quello del phishing via e-mail: spesso si usa la paura come strumento per mettere pressione. Molte volte nei messaggi si avvisa che gli accessi sono stati bloccati o che l’account della persona in questione è già stato hackerato. In molti casi, tuttavia, si tratta anche di richieste di reimpostare la password, di messaggi per autenticare un account, di inviti ad aggiornare i propri dati utente o persino a spedire un pacchetto postale.

Un metodo ampiamente diffuso negli attacchi di smishing consiste nell’utilizzare nomi di marchi o di aziende note con link che dovrebbero portare al sito web dell’azienda. In genere, lo smisher comunica all’utente che ha vinto del denaro oppure gli propone un link maligno che finge di servire al tracciamento di pacchetti.

Gli utenti vengono quindi indotti a reagire prontamente, per evitare conseguenze sgradevoli e spiacevoli. Purtroppo, questi messaggi brevi sono anche veramente credibili.

• Non lasciatevi mettere sotto pressione e leggete con molta attenzione.
• Verificate il mittente ed eventualmente chiamate il numero ufficiale e non quello che compare nel messaggio di testo.
  
• Non aprite alcun documento se non vi fidate al 100% del mittente.
• Fate gli aggiornamenti consigliati per il vostro smartphone.
• Per gli utenti Android: installate una protezione antivirus e un software antispam.
• Avete già fatto clic o avete già inserito informazioni? In questi casi, seguite i nostri consigli per «Incidente cyber - SOS» e segnalate senza esitazione il messaggio al Centro nazionale per la cibersicurezza (NCSC).
• Cancellate il messaggio.