11th - Ago - 2017

Smishing – La Prossima Generazione di Phishing

Graphic of speech bubbles reading 'Hi' and 'Yes' next to each other

All’inizio dell’anno abbiamo pubblicato un blog sulla messaggistica A2P, parlando della sua espansione e di come la frode stia intaccando la fiducia dei consumatori in questa piattaforma. Vorremmo tornare sull’argomento ma concentrandoci sullo smishing, un particolare tipo di frode che ancora una volta fa notizia sui giornali.

Cos’è lo smishing?

Lo smishing è la combinazione di SMS + phishing = smishing. È un modo per estrapolare informazioni personali dell’utente, come password, dati, ecc. usando SMS o applicazioni di chat che fingono di essere una fonte che l’utente conosce o di cui si fida. I messaggi di smishing includono sempre un collegamento su cui fare clic o un numero di telefono da contattare. L’invito all’azione è ovviamente fraudolento e un tentativo di violare la privacy del destinatario.

Nella sua relazione 2017, il MEF individua 13 tipi di frode, fra cui appunto lo smishing. Nello studio, il MEF indica che più di un quarto degli utenti riceve un messaggio SMS indesiderato al giorno, con il 33% che afferma di aver ricevuto un messaggio smishing destinato a violare i propri dati personali. Il MEF calcola che lo smishing contribuisce per 680 milioni di dollari al costo annuale totale della frode in tutto il mondo (2 miliardi di dollari).

Il problema è esacerbato dal fatto che gli SMS sono considerati uno dei canali di comunicazione più affidabili. Gli utenti si aspettano di ricevere e-mail spam e fraudolente, ma non pensano che gli SMS possano essere utilizzati allo stesso modo. Infatti, a giudizio del 35% degli utenti intervistati nella relazione del MEF, gli SMS rimangono il canale di comunicazione più affidabile. I truffatori hanno quindi scelto l’opzione più facile, approfittando di qualcosa di cui la gente si fida.

Come funziona lo smishing?

Si tratta di una stringa di messaggi di social engineering progettati per indurre un utente a rivelare i propri dati personali, consentendo all’autore dell’attacco di prendere il controllo del suo cellulare e accedere, ad esempio, al conto bancario del malcapitato. Il criminale può inviare messaggi SMS sotto forma di un’offerta di vendita, suggerendo una relazione esistente fra sé (che finge di essere qualcun altro) e il consumatore. Un tipico messaggio di testo smishing può essere:

‘Questa è l’Agenzia delle Entrate. Dai nostri record risulta che Lei ha un credito fiscale di £1,897.12 relativo all’esercizio fiscale 2016. La invitiamo a contattarci al XXX o fare clic qui per comunicarci i suoi dati bancari.’

Altri tipi di messaggi: “Le scriviamo da Lloyds Bank. Abbiamo rilevato un’attività sospetta sul suo conto. La preghiamo di contattarci al XXX per verificare le Sue transazioni. ” o ancora: “Questo messaggio è inviato da Apple. Il tuo account è stato bloccato a causa di attività sospette. Fai clic qui per verificare il tuo account ed evitare che venga rimosso”. Tutti questi messaggi hanno una cosa in comune, oltre al fatto di essere fraudolenti: contengono un invito all’azione, cioè agitano una carota davanti agli occhi del consumatore per aumentare la probabilità che cada nell’inganno. Alcune persone possono essere più ingenue di fronte a un’offerta vantaggiosa e fare clic sul collegamento o chiamare il numero senza pensare all’origine del messaggio (che purtroppo è sorprendentemente facile da forgiare), fidandosi ciecamente del mittente.

Una volta cliccato sul collegamento fasullo o chiamato il numero telefonico, il truffatore inizia subito a raccogliere i dati personali della persona o a inviare malware sul suo dispositivo, aprendo un mare di problemi per il malcapitato.

L’autore dell’attacco ha bisogno di un certo numero di informazioni per portare a termine il colpo. Ricordiamo che molte informazioni personali sono disponibili pubblicamente: nome completo, data di nascita, indirizzo, cognome da nubile, ecc. Tutti questi dati aiutano i criminali a fingersi il vero mittente quando contattano la banca per cambiare alcune password o trasferire del denaro.

In che modo le aziende possono proteggere i loro clienti dallo smishing?

Anche se nulla può sostituire il buon senso di fronte a un messaggio di smishing, le aziende possono fornire una protezione efficace con qualche accorgimento e informazione:

  • Educare i clienti, spiegando loro cosa chiede e non chiede di fare un messaggio legittimo.
  • Comunicare chiaramente codici brevi aziendali ai clienti, perché riconoscano i numeri genuini.
  • Introdurre domande di sicurezza più specifiche, cui non è possibile rispondere facendo una semplice ricerca su Google.
  • Creare programmi di sensibilizzazione per tutti coloro che sono a contatto con i clienti, perché possano identificare più facilmente i casi di frode.
  • Monitorare i reclami dei clienti sui messaggi spam, in particolare se si riferiscono a campagne specifiche. Indagare a fondo con domande come: chi ha inviato i messaggi, il messaggio contiene un URL sospetto, ecc.

In che modo gli individui possono proteggersi dallo smishing?

  • Quando qualcosa sembra troppo bello per essere vero, occorre essere cauti.
  • Dubita che un messaggio provenga dall’azienda o dall’autorità pubblica che dice di essere a meno che: a) aspettavi il messaggio in questione oppure b) ricevi spesso messaggi da quell’azienda.
  • Se hai dei dubbi, non contattare il numero riportato nel messaggio. (ad esempio, nel caso di un banca, chiama il numero telefonico della banca che usai abitualmente o visita il loro sito Web per contattarli e confermare).

Tutti questi suggerimenti sono certamente utili per proteggere i consumatori, ma chi è realmente responsabile di tutelarli? Come si può regolamentare questo ambiente? Nella sua relazione, il MEF propone alcune linee guida che vale la pena considerare:

  • Creazione di un registro nazionale e internazionale di aziende, marchi e codici brevi associati.
  • Creazione di un database di messaggi sospetti e fraudolenti noti.
  • Sviluppo di un standard globale, un metodo MNO incrociato e automatizzato per segnalare e condividere le informazioni sui messaggi fraudolenti sospetti e identificati.

Adottando tutti questi consigli per le aziende e gli individui e facendo riferimento alle raccomandazioni del MEF su come auto-regolare l’ambiente, sarà possibile abbattere lo smishing, proprio come è successo per i messaggi spam, che sono ora relegati al cestino della nostra posta elettronica.

Sei curioso di conoscere le altre 12 forme di frode? Leggi la relazione completa del MEF qui e scopri ulteriori informazioni sullo smishing.

Autore: Jeanette Burton, Content Manager at CLX Communications

Signup for Blog Updates