Gli attacchi di Smishing sono una tipologia di Phishing che sfrutta la messaggistica istantanea, come ad esempio gli SMS, per colpire le vittime.
Secondo il report State of the Phish 2023 la crescita esponenziale negli ultimi anni dell’utilizzo quotidiano degli smartphone ha visto un incremento degli attacchi Smishing con circa 300-400 mila smartphone colpiti al mese.
Il picco è stato rilevato nel mese di agosto 2022 con oltre 600 mila dispositivi smartphone colpiti da Smishing.
Mandare e ricevere SMS, infatti, costituisce uno degli usi più comuni degli smartphone.
Uno studio riportato da Experian ha riscontrato, infatti, gli utenti della fascia d’età dai 18 ai 24 anni ricevono circa 1.831 messaggi al mese.
Vediamo nel dettaglio nel nostro approfondimento perché gli hacker hanno trovato nello Smishing del terreno fertile non solo per colpire i singoli individui, ma per rivolgere i loro attacchi anche contro le aziende.
Che cos’è e come funziona lo Smishing
Partiamo dal definire nel dettaglio che cos’è lo Smishing, termine che nasce dall’unione fra le parole “SMS” e “Phishing”.
Come abbiamo detto nel paragrafo precedente si tratta di un attacco informatico che sfrutta i messaggi di testo, come gli SMS.
La vittima di questo attacco riceve sul proprio dispositivo un messaggio proveniente da una fonte spesso conosciuta, che esorta l’utente ad effettuare un’azione come un bonifico per pagare una bolletta o ad aiutare una persona in difficoltà.
L’obiettivo dell’hacker è quello di indurre la persona a cliccare su un link presente all’interno del messaggio per impossessarsi dei suoi dati personali come ad esempio:
- coordinate bancarie;
- numeri di carta di credito;
- indirizzi e-mail;
- informazioni e dati sensibili;
- password.
Grazie ai meccanismi di social engineering, gli utenti sono più propensi a rispondere a rispondere alla messaggistica istantanea rispetto alle e-mail, vediamo perché.
Perché gli attacchi Smishing sono più efficaci dell’e-mail Phishing?
Secondo le ultime ricerche gli utenti aziendali sono molto più propensi a “fidarsi” di un SMS rispetto a una e-mail.
Questo perché brand e istituti bancari utilizzano molto spesso gli SMS per comunicare con i propri clienti inducendo gli utenti a cliccare al link contenuto all’interno del messaggio.
Le statistiche indicano, infatti, le e-mail registrano un tasso di clic medio dell’1,33%, mentre gli SMS registrano un click-to-rate medio che si aggira fra l’8,9% e il 14,5%.
Inoltre, le e-mail tendono a essere tendenzialmente molto più controllate rispetto agli SMS.
Questo è dato dal fatto che gli utenti in azienda utilizzano, in molte realtà, il pc fornito dall’organizzazione e il proprio smartphone personale.
Per gli hacker risulta quindi più facile penetrare i dispositivi mobile personali delle vittime rispetto alle reti aziendali, soprattutto se queste ultime sono affidate a partner esterni esperti di sicurezza informatica.
Cosa fare e come proteggersi in caso di Smishing
Come diciamo sempre nei nostri articoli che parlano di Cybersecurity, l’elemento fondamentale per proteggersi dagli attacchi informatici è la prevenzione.
Questa è possibile attuarla nel caso in cui si riescano a capire quali sono i segnali di un attacco di Smishing.
Alcuni elementi ricorrenti di questa tipologia di attacchi sono:
- cliccare su un link esterno al messaggio che richiede di inserire delle credenziali di accesso;
- rispondere all’SMS ricevuto con un codice o inserendo dei dati personali;
- scaricare un’applicazione;
- telefonare al numero indicato nel messaggio;
- scaricare un allegato contenuto nell’SMS;
- inviare del denaro tramite delle coordinate bancarie per saldare dei pagamenti non riscossi.
Tutti questi segnali appena elencati, se provenienti da fonti non affidabili potrebbero essere degli attacchi di Smishing.
Per proteggersi, dunque, sarà sufficiente contattare il servizio clienti del presunto mittente che ci ha inviato il messaggio per verificare o meno l’attendibilità fonte.
In caso si tratti di Smishing è bene eliminare il messaggio malevolo ricevuto e segnalare l’evento alle autorità competenti, o, nel caso dell’organizzazione, agli addetti alla sicurezza informatica aziendale.
In questo modo si possono evitare ingenti danni e ci si può proteggere dai malintenzionati.
Soluzioni per proteggere i propri dati e informazioni aziendali
Uno degli elementi fondamentali per proteggersi dagli attacchi informatici come lo Smishing è quello di riconoscere fin da subito la tipologia di attacco subito.
Per potersi difendere in modo adeguato è necessario ricevere una formazione completa da parte di uno staff qualificato di sicurezza informatica.
Non solo, grazie a un partner affidabile ed esperto in cybersecurity, sarà possibile ottenere numerosi servizi quali:
- Vulnerability Assesment: per verificare la vulnerabilità della propria rete informatica aziendale;
- Penetration Testing: per verificare l’efficacia delle proprie difese tramite simulazioni e test di un attacco informatico;
- Awareness: per verificare la presenza di dati e informazioni sensibili sul dark web e formare i dipendenti dell’organizzazione sulle best practice da seguire in ambito di sicurezza informatica.
Per ricevere maggiori informazioni compila il form presente in questa pagina.
"*" indica i campi obbligatori